В последнее время участились случаи взлома сайтов пользователь, новым методом, злоумышленники отравляют фишинговое письмо якобы от Роскомнадзора с просьбой разместить у себя файл reestr/reestr-id128032.php, содержащий в себе вредоносный код.
На контактный емайл владельца сайта приходят сообщения якобы от Роскомнадзора с просьбой разместить у себя файл reestr/reestr-id128032.php, содержащий в себе вредоносный код.
После размещения данного файла сайт легко могут взломать, получить доступ к защищенным файлам или с помощью сайта распространять вирусы и т.д.
Гугл, яндекс, некоторые другие сервисы приучили владельцев сайта создавать в корне файл и вписывать туда какую-нибудь строчку для верификации. Поэтому знания и навыки для выполнения этой задачи несколько ниже, чем может показаться и сама просьба положить что-то для верификации выглядит натурально.
Кроме того, многие фирмы по скупке ссылок, а также тот же вирусдай который тут на хабре пиарился, да и некоторые биржи ссылок, уже просят разместить php файл в корне. Тут получается что мало того, что знания и навыки уже есть, но и просьба разместить php код выглядит достаточно естественно.
Про роскомнадзор каждый неленивый слышал, так что испуг приглушит возможные подозрения до кучи.
Под таким углом задача выглядит не сложнее чем зайти в вордпресс и разместить какую-нибудь новость… и не опаснее.
У этого письма своя аудитория: люди имеющие домен, хостинг, сайт и при этом не понимающие что именно этот код делает. Иными словами это аудитория CMS (DLE, Wordpress, Joomla, Drupal etc.). А большинство CMS написанно на php.
один из моих знакомых повелся, пока я не удалил это, и вот что было в логах:
77.222.57.53 — - [27/Aug/2015:08:27:51 +0300] «GET /reestr/reestr-idxxxxx.php?roskomnadzor=print-439573653*57; HTTP/1.0» 200 223 "-" "-"
188.93.212.151 — - [27/Aug/2015:08:12:29 +0300] «GET /reestr/reestr-idxxxxx.php?roskomnadzor=print-439573653*57; HTTP/1.0» 200 223 "-" "-"
5.101.156.31 — - [27/Aug/2015:09:49:53 +0300] «GET /reestr/reestr-idxxxxx.php?roskomnadzor=print-439573653*57; HTTP/1.0» 200 223 "-" "-"
89.108.106.146 — - [27/Aug/2015:10:04:10 +0300] «GET /reestr/reestr-idxxxxx.php?roskomnadzor=print-439573653*57; HTTP/1.0» 200 223 "-" "-"
5.101.157.29 — - [27/Aug/2015:10:21:57 +0300] «GET /reestr/reestr-idxxxxx.php?roskomnadzor=print-439573653*57; HTTP/1.0» 200 223 "-" "-"
54.94.241.168 — - [27/Aug/2015:11:12:40 +0300] «GET /reestr/reestr-idxxxxx.php?roskomnadzor=print-439573653*57; HTTP/1.0» 200 267 "-" «Mozilla/5.0 (Windows NT 6.1; rv:31.0) Gecko/20100101 Firefox/31.0»
5.9.96.235 — - [27/Aug/2015:11:12:52 +0300] «POST /reestr/reestr-idxxxxx.php?roskomnadzor=eval(base64_decode(\»$_POST[qwe]\")); HTTP/1.0" 200 10702
Фишинговое письмо якобы от Роскомнадзора информация взята с http://habrahabr ru/post/265513
Самое правильное на мой взгляд всем хабром отправить письмо с абузой на адрес abuse@sendgrid.com и abuse@ripe.net
С текстом из серии (Переводил в гугл транслейт)
Good evening,
with your IP address (167.89.17.173, 169.57.0.216) is sent an e-mail to owners of sites on behalf of the «Roskomnadzor» (the state organization responsible for blocking illegal information in Russian). In this letter, the attackers need to download a dangerous site php code.
Please lock the server.
Log:
169.57.0.216 — - [27/Aug/2015:02:36:23 +0300] «GET /reestr/reestr-id122031.php?roskomnadzor=phpinfo(); HTTP/1.0» 404 564 "-" «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.1 (build 00975); .NET CLR 1.1.4322)» "-"
169.57.0.216 — - [27/Aug/2015:02:36:25 +0300] «GET /reestr/reestr-id122032.php?roskomnadzor=phpinfo(); HTTP/1.0» 404 162 "-" «Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU; rv:1.7.12) Gecko/20050919 Firefox/1.0.7» "-"
Mail:
Received: from o1678917x173.outbound-mail.sendgrid.net (o1678917x173.outbound-mail.sendgrid.net [167.89.17.173])
Если сайт написан не на PHP, но сервер научен (то есть у него в конфигурации указано) обращаться к PHP для обработки PHP-файлов (таковы некоторые сборки Apache, например), то PHP-файл всё равно сработает.
Если к веб-серверу подключен интерпретатор то оно будет работать даже если сайт не на php. Если интерпретатора нет то и работать не будет.
Чтобы предотвратить взлом, обязательно проверяйте информацию в интернете или на сайте Роскомнадзора.
Просьба игнорировать подобное письмо, а если Вы уже разместили данный файл, то незамедлительно удалите его.
Если требуется помощь в поиске вредоносных файлов или необходимы логи запросов к сайту, всегда обращайтесь в службу поддержки хостингом.
Представляем на https://dle9.com/ полезную статью.