Уважаемые хабравчане! Истории, одна из которых произошла со мной, случаются сплошь и рядом, вот только концовка в моем случае довольно редкая.
По определенным соображениям в данной статье я не буду указывать домен и имя реселлера. Тех, кто сможет их опознать, убедительно прошу в комментариях не обнародовать.
Случилось это в октябре 2010 года. За полгода до этого – в начале мая – мной без перерегистрации был куплен сайт, благо все указывало на то, что мой продавец уже пятый или шестой его владелец. Цена сделки составила 24 тыс. рублей. Я получил:
-логин/пароль к администраторской панели реселлера домена;
-пароль к почтовому ящику xxx@mail.ru;
-логин/пароль доступа к аккаунту firstvds.ru, на котором и находился сайт;
-логин/пароль доступа к администраторской части CMS Wordpress.
С момента покупки прошло около полугода, все шло своим чередом, как однажды в конце сентября мне на почту пришло сообщение о восстановлении пароля к Wordpress. Очень быстро я обнаружил, что доступа к почтовому ящику xxx@mail.ru и админке реселлера домена у меня больше нет. Посмотрев соответствующие записи на корневых ns-серверах, я увидел, что указатели моего домена уже ссылаются на другой хостинг – vds64.com. Ответ на то, как такое могло произойти, пришел очень быстро: я не удосужился изменить параметры восстановления для ящика xxx@mail.ru (секретный вопрос и номер телефона), и некто, использовав их, забрал себе также и доступ к админке реселлера, так как она была завязана на данный почтовый ящик. Все, что осталось – доступ к аккаунту хостера, поскольку там я все же поменял контактный почтовый адрес. На тот момент это не имело никакого значения, однако, забегая вперед, скажу, что именно это меня и спасло. Не могло быть никаких сомнений в том, что этот некто – не кто иной, как мой продавец. Как назло, узнал я обо всем этом в свой день рождения.
Проведя пару дней в понятно каких размышлениях о самом себе, я зашел на один очень известный форум, на котором статус Silver Member и регистрация практически с начала его основания предполагает определенный уровень доверия ко мне, и вышел на человека, оказывающего услуги по… Скажем так: по восстановлению доступа к украденным почтовым ящикам. Дня через три мой новый знакомый меня удивил, сообщив мне текущий пароль от украденного почтового ящика. Цена вопроса составила 1500 WMR.
Воодушевленный тем, как быстро все разрешилось, я зашел в почту и отправился восстанавливать доступ к админке реселлера. Тут меня постигло большое разочарование: для получения пароля необходимо знать ответ на секретный вопрос, которого у меня не было…
При исследовании почтового ящика я обнаружил, что он старательно подчищен: исхо��ящих писем не было вообще, во входящих было письмо от реселлера со ссылкой на восстановление пароля, которая, естественно, уже не работала, а также созданный тикет на вопрос моего продавца о том, почему измененные ns-серверы до сих пор не применились. В процитированном в тикете вопросе моим продавцом было указано кодовое слово. Опять забегая вперед, скажу, что это стало его первой стратегической ошибкой.
Также в ящике было письмо администрации биржи Sape с просьбой напомнить логин в их системе, при этом рассказывалась история о том, что, используя сохранение аккаунтов в браузере Opera, в результате сбоя эти данные потерялись. Из этого я сделал вывод о том, что мой продавец довольно молод, если использует подобную «социальную инженерию», не понимая, что тем самым только отнимает у техподдержки время.
Прошло один-два дня, и во whois-данных домена я увидел уже другой регистрационный почтовый адрес. Привожу его как есть: babuwkamisha@gmail.com. Вероятно, мой продавец обнаружил факт потери ящика на mail.ru и перенес домен на другой аккаунт у реселлера.
Немного отвлекусь и вкратце опишу политику безопасности реселлера: логин является почтовым адресом, который может не совпадать с адресом из whois, имеется кодовое слово для общения с техподдержкой и секретный вопрос для восстановления пароля. Общение с реселлером должно происходить с почтового адреса-логина, за который и развернется борьба.
Зайдя на страницу восстановления пароля у реселлера, я указал новый почтовый ящик и получил предложение ответить на секретный вопрос. Это означало, что аккаунт с данным адресом у реселлера существует, и мой домен скорее всего находится в нем.
Я вновь обратился к моему новому знакомому:
-Ящик на gmail?
-Беру в работу.
Каково же было мое удивление, когда через три дня я снова получил текущий пароль теперь уже от ящика на Gmail. О методе «взлома» я напишу в примечании. Цена вопроса составила 80 WMZ.
Должен сказать, что заказывая эту вторую работу, мои надежды на успех уже были близки к нули, ибо, как я описывал выше, доступа к почте недостаточно для восстановления контроля над доменом. Как я и предполагал, ящик был девственно чист…
От нечего делать я попробовал войти в админку Wordpress с полученным паролем. И, о чудо, пароль подошел! К сожалению, администраторская часть реселлера в тот момент не работала. Реселлер объяснял это аварией в датацентре. Не могу выразить, с каким нетерпением я ждал восстановления ее работы. Произошло это через сутки, пароль подошел, я сменил его на новый, поменял dns-серверы у реселлера, реквизиты восстановления в почтовом ящике Gmail и довольный лег спать.
Проснувшись утром, я обнаружил, что доступа к ящику и домену у меня снова нет. Что за черт!..
От безысходности зашел на страницу восстановления аккаунта Google. Хочу сказать, что в отличие от Mail.ru, данная служба работает и весьма оперативно. Немного отвлекусь и скажу о ней пару слов: попав в почтовый ящик, человек получает практически неограниченные данные для восстановления доступа к нему. Мало того, если вы недавно поменяли пароль, то человеку, знающему предыдущий пароль, может быть достаточно одного взгляда на ваш мони��ор, чтобы забрать себе ваш почтовый ящик навсегда.
Итак, примерно через час я получил ссылку от Google на восстановление доступа.
В админке реселлера был уже другой неизвестный мне пароль, и для его получения мне было необходимо узнать ответ на секретный вопрос. Я написал письмо в техподдержку реселлера с просьбой «напомнить» его, указав наудачу известное мне кодовое слово из предыдущего аккаунта, после чего реселлер любезно сообщил мне, что «мой любимый город» — это Марсель. Таким образом, мой продавец не удосужился поменять кодовое слово на новом аккаунте, и это стало его второй стратегической ошибкой.
Я опять изменил все реквизиты в админке реселлера, в основном — dns-серверы, так как почтовый ящик менять нельзя. После этого мой продавец, который, по данным Gmail, находился на Украине, и появлялся в Сети исключительно ночью, снова забрал его себе таким же способом.
Это перетаскивание ящика друг к другу продолжалось три дня.
Дальнейшие действия были очевидны: необходимо было перенести домен на новый аккаунт, на котором логин-емейл не будут совпадать с данными из whois. Проблема была в том, что домен переносился неделю назад, а у реселлера существует 30-суточное ограничение на повторный перенос.
Шел третий день моего владения почтовым ящиком, было около 19 часов. Незадолго до этого я закинул в аккаунт 80 рублей, чтобы «отметить» в нем свой кошелек, так как номер кошелька плательщика является важным элементом политики безопасности реселлера. Вдруг меня осенило, что оставшиеся три недели я могу не протянуть: к моменту переноса доступа к ящику у меня может уже не быть. Я написал письмо реселлеру со своими подозрениями о том, что кто-то пользуется моей почтой (что, собственно, так и было, хотя ящик был не совсем мой) и попросил снять временное ограничение. Через час мне сообщили, что ограничение снято, и я, используя пароль и кодовое слово, очень быстро перенес домен на заранее заготовленный аккаунт. И весьма вовремя: с того момента ссылок на восстановление доступа к ящику я от Google не получал. Помимо прочего, я закинул в новый аккаунт 500 руб. и продлил домен, благо срок продления заканчивался через месяц-другой.
Вечером мой продавец снова получил доступ к почтовому ящику, потом к админке реселлера, зашел в нее и… не обнаружил тамсвоего моего домена. Полагаю, в этот момент его охватила паника, потому как в восстановленном ящике он забыл убрать пересылку на другой мой адрес, благодаря чему я получил возможность читать всю его переписку с реселлером. Осознав, какое счастье мне привалило, ибо, как известно, кто владеет информацией – тот владеет миром, и увидев его первое письмо, я расхохотался. Вот оно (читать следует снизу вверх, так как письмо реселлера – это ответ на предыдущее письмо моего продавца):
Здравствуйте,
Для переноса домена необходимо знать кодовое слово. Получается злоумышленник знал Ваше кодовое слово?
С какого кошелька Вы пополняли свой баланс у нас?
>06.10.2010 22:35 — Михаил Бабушкин написал(а):
>Клиент Михаил Бабушкин с e-mail адресом babuwkamisha@gmail.com обращается с
>вопросом:
>Доброго времени суток.
>Недавно купил без переоформления домен xxx.ru у Сергея Семенова. Кодовое
>слово: xxx. Секретный вопрос: Ваш любимый город, ответ: Марсель.
>Я перенёс на свой ящик этот домен: babuwkamisha@gmail.com. Но пару дней назад у
>меня украли мыло путём фишинг вороства паролей и получили полный доступ как к
>мылу, так и к админке домена, и поменяли DNS сервера на свои какие-то. Сегодня я
>через Google восстановил доступ к емайлу своему, и вот уже восстановил доступ к
>админ.панели рег.ру, но домена тут уже не обнаружил. Как отследить куда был
>перенесён домен и как его вернуть? Заранее спасибо.
Письмо явно писалось в большой спешке.
Сразу после этого той же ночью реселлер написал мне вопрос:
Здравствуйте!
Не согли бы Вы пояснить происхождение домена XXX.RU на Вашем аккаунте?
Вы владелец данного домена?
На Ваше право владения этим доменом поступила претензия.
Я ответил, что мой почтовый ящик украден со всем его содержимым. А также то, что купил домен полгода назад за 800$, что все это время он находился на сервере FirstVDS, оплачивался с моего кошелька, и я могу это доказать.
Далее последовало продолжение переписки моего продавца:
Здравствуйте,
Сколько Вы заплатили за домен при покупке? Я эту сумму узнал.
Этот домен прикреплен к FirstVDS аж с 7 мая и до сих пор. Т.е. злоумышленник получается домен никуда не прикреплял. У Вас есть доступ к аккаунту на FirstVDS? Домен получается все время прикреплен к одному и тому же хостингу. Если Вы и есть его законный владелец, для Вас не составит труда сделать на сайте какую-нибудь тестовую страничку и разместить там подтверждающий текст.
>07.10.2010 00:35 — Babuwka Misha написал(а):
>У меня на почтовом ящике во входящих было письмо от продавца со всеми данными к домену.
>Было оно с емайла: xxx-ru@mail.ru
>И содержалось в этом письме различная информация о сайте (вот кусок из письма):
— >Доступ к админке wordpress
— >http://www.xxx.ru/wp-login.php
>Логин: admin
>Пароль: xxx
>https://реселлер
>Кодовое слово: xxx
>Любимый город? Марсель
>Я точно такое же кодовое слово и секретный вопрос заполнил в своём аккаунте, чтоб не забыть, когда
>перенёс домен с xxx-ru@mail.ru на свой аккаунт gmail. Видимо имея доступ к моему email-у и ко
>входящим письмам узнали кодовое слово и ответ на секретный вопрос.
>Пополнение счёта на 80 руб. осуществил не я. Я конечно собирался в скором времени продлить домен,
>так как по-моему 21 ноября заканчивается срок домена, но денег ни разу в вашу систему не заводил,
>то есть вот эти 80 руб можете аннулировать, это не из моего кошелька.
>И ещё информация о данном домене, которую мне предоставил Сергей Семенов:
>--------------------------------------------------
>ДОМЕН
>--------------------------------------------------
>http://реселлерxxx2@mail.ru
>старый PassWord: xxx
>новый пароль: xxx
>То есть изначально был домен зарегистрирован на xxx2@mail.ru, затем уже Сергей во время
>продажи переносил его на xxx-ru@mail.ru. А я уже после этого перенёс его в 20-х числах сентября на
>babuwkamisha@gmail.com. Такая информация я думаю врядли найдётся у злоумышленника, если Вы его >спросите относительно данного домена.
>В письме-о��вете хочеться услышать, какие действия теперь я могу осуществить или же я потерял
>этот домен навсегда?
Следующее письмо:
Здравствуйте,
Вы же в пером письме писали, что у Вас украли email babuwkamisha@gmail.com…
А сейчас уже пишете про xxx@mail.ru
>07.10.2010 20:10 — Babuwka Misha написал(а):
>Да хостинг этого домена прикреплён к firstvds.ru изначально, и доступ у меня к нему был через мыло
>xxx@mail.ru, как и доступ ко всему отстальному, и всё нормально было раньше до того момента,
>пока месть мыло xxx@mail.ru у меня не угнали.
>Доступ к firstvds получить тоже немогу из-за того, что там поменяли пароль, а аккаунт firstvds
>прикреплён к тому мылу xxx@mail.ru.Отсюда и начались все проблемы. То мыло я вернуть не могу,
>и именно поэтому я начал недавно переносить домен из одного аккаунта на Вашем сайте на другой
>аккаунт. Зная секретный вопрос и кодовое слово я это легко сделал в конце сентября. И именно из-за
>потери хостинга на firstvds я совсем недавно и купил новый VDS на vds64.com, во-первых он и быстрее
>работает (технические характеристики сервера лучше), во-вторых я там настроил, чтоб доступ
>можно было восстановить в любое время с моего мобильного телефона, так как безопасность сейчас
>очень необходима мне.
>В админке домена после переноса я совсем недавно перебивал DNS (или NS, не знаю как правильно) на
>вот этот новый свой купленный VDS (ns1.vds64.com и ns2.vds64.com). А злоумышленник похитив снова
>домен опять прикрепил его к старому firstvds, доступ к которому у него есть.
Представьте себе реакцию сотрудника техподдержки, который постепенно узнает о том, что у клиента украли два почтовых ящика в двух разных системах, секретный ответ и кодовое слово, т.е. украли все и вся. Самое смешное, что именно так все и было.
Здравствуйте,
Вы так и не ответили, за сколько Вы купили этот домен?
>07.10.2010 21:20 — Babuwka Misha написал(а):
>И тот украли и новый емайл. Но этот из-за того что я его создавал сам, благодаря службам Google я 3
>раза уже восстановливал и снова терял это мыло. Покаместь вчера не поставил от Google — программу
>PC Tools Spyware Doctor. У меня на ноутбуке и на PC обнаружена была одна и та же угроза:
>Trackware.TrackingCookies. Всё из-за этой инфекции.
Далее.
Здравствуйте,
У вас остался контакт с владельцем домена у кого Вы его покупали?
>07.10.2010 22:15 — Babuwka Misha написал(а):
>за 800$.
Еще письмо:
Здравствуйте,
У Вас есть подтверждение процесса покупки данного домена?
>08.10.2010 00:10 — Babuwka Misha написал(а):
>Никакого контакта не осталось. Он когда продавал, говорил, что уходит в оффлайн бизнес, то ли
>автомастерскую открывает то ли ещё что-то. Его нет больше ни вконтакте ни т.д.
Должен сказать, что некоторое время у меня были подозрения, что данный субъект – это бедолага, которому мой продавец только что еще раз продал домен. Однако, со временем сомнения рассеялись: все та же детская «социальная инженерия», безусловно, – это мой продавец. К тому же, часть информации и весьма редкий для моего слуха термин «оффлайн бизнес» я уже слышал при покупке по icq.
После этого ресел��ер предложил мне прислать скрины Кипера и биллинга FirstVDS для подтверждения покупки и оплаты хостинга в течение последних шести месяцев. Мне показалось странным, что реселлер решил пуститься в эти выяснения, так как домен был перенесен согласновсех правил всем правилам. Впрочем, это было даже лучше – все «козыри» были у меня. Я отослал требуемые данные.
Здравствуйте,
Как Вы платили за хостинг FirstVDS когда он еще был подконтролен Вам?
>08.10.2010 00:45 — Babuwka Misha написал(а):
>Нет. Я покупал налом, но при этом получил полный доступ без переоформления домена.
После этого письма мой продавец пропал и больше я о нем ничего не слышал. Периодически я посылал ему письма, замаскированные под спам, чтобы проверить, работает ли пересылка ко мне. Она включена до сих пор.
Было бы очень интересно узнать, что подумали об этой истории в техподдержке реселлера: вероятно, они решили, что мы поругались и после этого подрались за домен.
Примечание: думаю, мой продавец был прав, и аккаунт Google был действительно «взломан» посредством фишинговой ссылки. Имея доступ к ящику, я получил письмо от некоего Urals Bank, где мне высылались «мои новые реквизиты» с вложенным документом. Присмотревшись, я заметил, что «вложение» на самом деле находится в теле письма и просто стилизовано под вложение. При переходе по ссылке «загрузить» я попал на копию начальной страницы Gmail. Это должно было навести меня на мысль о том, что сессия сбросилась по таймауту, и необходимо авторизоваться заново. Адрес ссылки был очень длинным, в нем присутствовало слово «google», но, естественно, не на втором уровне. Вероятно, на одно из таких писем мой продавец и попался.
Спасибо, что прочитали мою статью. Надеюсь, она кажется для вас интересной и полезной.
UPD. В этой истории мне показалось странным следующее:
1. Реселлер не ведет длительных IP-логов для своей админки, иначе украинская прописка первоначального владельца была бы очевидной.
2. Реселлер не ведет логов смены ns-серверов, и о том, что они указывали на Firstvds.ru, он узнал от меня. Хотя до кражи я размещал домен еще у одного провайдера.
3. И самое странное: примерно в описанный период домен перешел в статус Verified. Это значит, что кто-то прислал регистратору сканы своего паспорта. Человек этот не объявился до сих пор.
На ящик babuwkamisha@gmail.com до сих пор приходят письма: спам из вконтакте, информация о регистрации нового доменного имени. Мой продавец разместил копию моего сайта на другом домене и не знает, что в следующий апдейт зеркальщика его сайт, согласно robots.txt, станет зеркалом моего. Интересно, читает ли он хабр?
И еще по поводу отсутствия перерегистрации: риск был заложен в цене сайта, она была для него явно занижена. К тому же очевидно, что мой продавец формальным владельцем не является и с ним не знаком.
По определенным соображениям в данной статье я не буду указывать домен и имя реселлера. Тех, кто сможет их опознать, убедительно прошу в комментариях не обнародовать.
Случилось это в октябре 2010 года. За полгода до этого – в начале мая – мной без перерегистрации был куплен сайт, благо все указывало на то, что мой продавец уже пятый или шестой его владелец. Цена сделки составила 24 тыс. рублей. Я получил:
-логин/пароль к администраторской панели реселлера домена;
-пароль к почтовому ящику xxx@mail.ru;
-логин/пароль доступа к аккаунту firstvds.ru, на котором и находился сайт;
-логин/пароль доступа к администраторской части CMS Wordpress.
С момента покупки прошло около полугода, все шло своим чередом, как однажды в конце сентября мне на почту пришло сообщение о восстановлении пароля к Wordpress. Очень быстро я обнаружил, что доступа к почтовому ящику xxx@mail.ru и админке реселлера домена у меня больше нет. Посмотрев соответствующие записи на корневых ns-серверах, я увидел, что указатели моего домена уже ссылаются на другой хостинг – vds64.com. Ответ на то, как такое могло произойти, пришел очень быстро: я не удосужился изменить параметры восстановления для ящика xxx@mail.ru (секретный вопрос и номер телефона), и некто, использовав их, забрал себе также и доступ к админке реселлера, так как она была завязана на данный почтовый ящик. Все, что осталось – доступ к аккаунту хостера, поскольку там я все же поменял контактный почтовый адрес. На тот момент это не имело никакого значения, однако, забегая вперед, скажу, что именно это меня и спасло. Не могло быть никаких сомнений в том, что этот некто – не кто иной, как мой продавец. Как назло, узнал я обо всем этом в свой день рождения.
Проведя пару дней в понятно каких размышлениях о самом себе, я зашел на один очень известный форум, на котором статус Silver Member и регистрация практически с начала его основания предполагает определенный уровень доверия ко мне, и вышел на человека, оказывающего услуги по… Скажем так: по восстановлению доступа к украденным почтовым ящикам. Дня через три мой новый знакомый меня удивил, сообщив мне текущий пароль от украденного почтового ящика. Цена вопроса составила 1500 WMR.
Воодушевленный тем, как быстро все разрешилось, я зашел в почту и отправился восстанавливать доступ к админке реселлера. Тут меня постигло большое разочарование: для получения пароля необходимо знать ответ на секретный вопрос, которого у меня не было…
При исследовании почтового ящика я обнаружил, что он старательно подчищен: исхо��ящих писем не было вообще, во входящих было письмо от реселлера со ссылкой на восстановление пароля, которая, естественно, уже не работала, а также созданный тикет на вопрос моего продавца о том, почему измененные ns-серверы до сих пор не применились. В процитированном в тикете вопросе моим продавцом было указано кодовое слово. Опять забегая вперед, скажу, что это стало его первой стратегической ошибкой.
Также в ящике было письмо администрации биржи Sape с просьбой напомнить логин в их системе, при этом рассказывалась история о том, что, используя сохранение аккаунтов в браузере Opera, в результате сбоя эти данные потерялись. Из этого я сделал вывод о том, что мой продавец довольно молод, если использует подобную «социальную инженерию», не понимая, что тем самым только отнимает у техподдержки время.
Прошло один-два дня, и во whois-данных домена я увидел уже другой регистрационный почтовый адрес. Привожу его как есть: babuwkamisha@gmail.com. Вероятно, мой продавец обнаружил факт потери ящика на mail.ru и перенес домен на другой аккаунт у реселлера.
Немного отвлекусь и вкратце опишу политику безопасности реселлера: логин является почтовым адресом, который может не совпадать с адресом из whois, имеется кодовое слово для общения с техподдержкой и секретный вопрос для восстановления пароля. Общение с реселлером должно происходить с почтового адреса-логина, за который и развернется борьба.
Зайдя на страницу восстановления пароля у реселлера, я указал новый почтовый ящик и получил предложение ответить на секретный вопрос. Это означало, что аккаунт с данным адресом у реселлера существует, и мой домен скорее всего находится в нем.
Я вновь обратился к моему новому знакомому:
-Ящик на gmail?
-Беру в работу.
Каково же было мое удивление, когда через три дня я снова получил текущий пароль теперь уже от ящика на Gmail. О методе «взлома» я напишу в примечании. Цена вопроса составила 80 WMZ.
Должен сказать, что заказывая эту вторую работу, мои надежды на успех уже были близки к нули, ибо, как я описывал выше, доступа к почте недостаточно для восстановления контроля над доменом. Как я и предполагал, ящик был девственно чист…
От нечего делать я попробовал войти в админку Wordpress с полученным паролем. И, о чудо, пароль подошел! К сожалению, администраторская часть реселлера в тот момент не работала. Реселлер объяснял это аварией в датацентре. Не могу выразить, с каким нетерпением я ждал восстановления ее работы. Произошло это через сутки, пароль подошел, я сменил его на новый, поменял dns-серверы у реселлера, реквизиты восстановления в почтовом ящике Gmail и довольный лег спать.
Проснувшись утром, я обнаружил, что доступа к ящику и домену у меня снова нет. Что за черт!..
От безысходности зашел на страницу восстановления аккаунта Google. Хочу сказать, что в отличие от Mail.ru, данная служба работает и весьма оперативно. Немного отвлекусь и скажу о ней пару слов: попав в почтовый ящик, человек получает практически неограниченные данные для восстановления доступа к нему. Мало того, если вы недавно поменяли пароль, то человеку, знающему предыдущий пароль, может быть достаточно одного взгляда на ваш мони��ор, чтобы забрать себе ваш почтовый ящик навсегда.
Итак, примерно через час я получил ссылку от Google на восстановление доступа.
В админке реселлера был уже другой неизвестный мне пароль, и для его получения мне было необходимо узнать ответ на секретный вопрос. Я написал письмо в техподдержку реселлера с просьбой «напомнить» его, указав наудачу известное мне кодовое слово из предыдущего аккаунта, после чего реселлер любезно сообщил мне, что «мой любимый город» — это Марсель. Таким образом, мой продавец не удосужился поменять кодовое слово на новом аккаунте, и это стало его второй стратегической ошибкой.
Я опять изменил все реквизиты в админке реселлера, в основном — dns-серверы, так как почтовый ящик менять нельзя. После этого мой продавец, который, по данным Gmail, находился на Украине, и появлялся в Сети исключительно ночью, снова забрал его себе таким же способом.
Это перетаскивание ящика друг к другу продолжалось три дня.
Дальнейшие действия были очевидны: необходимо было перенести домен на новый аккаунт, на котором логин-емейл не будут совпадать с данными из whois. Проблема была в том, что домен переносился неделю назад, а у реселлера существует 30-суточное ограничение на повторный перенос.
Шел третий день моего владения почтовым ящиком, было около 19 часов. Незадолго до этого я закинул в аккаунт 80 рублей, чтобы «отметить» в нем свой кошелек, так как номер кошелька плательщика является важным элементом политики безопасности реселлера. Вдруг меня осенило, что оставшиеся три недели я могу не протянуть: к моменту переноса доступа к ящику у меня может уже не быть. Я написал письмо реселлеру со своими подозрениями о том, что кто-то пользуется моей почтой (что, собственно, так и было, хотя ящик был не совсем мой) и попросил снять временное ограничение. Через час мне сообщили, что ограничение снято, и я, используя пароль и кодовое слово, очень быстро перенес домен на заранее заготовленный аккаунт. И весьма вовремя: с того момента ссылок на восстановление доступа к ящику я от Google не получал. Помимо прочего, я закинул в новый аккаунт 500 руб. и продлил домен, благо срок продления заканчивался через месяц-другой.
Вечером мой продавец снова получил доступ к почтовому ящику, потом к админке реселлера, зашел в нее и… не обнаружил там
Здравствуйте,
Для переноса домена необходимо знать кодовое слово. Получается злоумышленник знал Ваше кодовое слово?
С какого кошелька Вы пополняли свой баланс у нас?
>06.10.2010 22:35 — Михаил Бабушкин написал(а):
>Клиент Михаил Бабушкин с e-mail адресом babuwkamisha@gmail.com обращается с
>вопросом:
>Доброго времени суток.
>Недавно купил без переоформления домен xxx.ru у Сергея Семенова. Кодовое
>слово: xxx. Секретный вопрос: Ваш любимый город, ответ: Марсель.
>Я перенёс на свой ящик этот домен: babuwkamisha@gmail.com. Но пару дней назад у
>меня украли мыло путём фишинг вороства паролей и получили полный доступ как к
>мылу, так и к админке домена, и поменяли DNS сервера на свои какие-то. Сегодня я
>через Google восстановил доступ к емайлу своему, и вот уже восстановил доступ к
>админ.панели рег.ру, но домена тут уже не обнаружил. Как отследить куда был
>перенесён домен и как его вернуть? Заранее спасибо.
Письмо явно писалось в большой спешке.
Сразу после этого той же ночью реселлер написал мне вопрос:
Здравствуйте!
Не согли бы Вы пояснить происхождение домена XXX.RU на Вашем аккаунте?
Вы владелец данного домена?
На Ваше право владения этим доменом поступила претензия.
Я ответил, что мой почтовый ящик украден со всем его содержимым. А также то, что купил домен полгода назад за 800$, что все это время он находился на сервере FirstVDS, оплачивался с моего кошелька, и я могу это доказать.
Далее последовало продолжение переписки моего продавца:
Здравствуйте,
Сколько Вы заплатили за домен при покупке? Я эту сумму узнал.
Этот домен прикреплен к FirstVDS аж с 7 мая и до сих пор. Т.е. злоумышленник получается домен никуда не прикреплял. У Вас есть доступ к аккаунту на FirstVDS? Домен получается все время прикреплен к одному и тому же хостингу. Если Вы и есть его законный владелец, для Вас не составит труда сделать на сайте какую-нибудь тестовую страничку и разместить там подтверждающий текст.
>07.10.2010 00:35 — Babuwka Misha написал(а):
>У меня на почтовом ящике во входящих было письмо от продавца со всеми данными к домену.
>Было оно с емайла: xxx-ru@mail.ru
>И содержалось в этом письме различная информация о сайте (вот кусок из письма):
— >Доступ к админке wordpress
— >http://www.xxx.ru/wp-login.php
>Логин: admin
>Пароль: xxx
>https://реселлер
>Кодовое слово: xxx
>Любимый город? Марсель
>Я точно такое же кодовое слово и секретный вопрос заполнил в своём аккаунте, чтоб не забыть, когда
>перенёс домен с xxx-ru@mail.ru на свой аккаунт gmail. Видимо имея доступ к моему email-у и ко
>входящим письмам узнали кодовое слово и ответ на секретный вопрос.
>Пополнение счёта на 80 руб. осуществил не я. Я конечно собирался в скором времени продлить домен,
>так как по-моему 21 ноября заканчивается срок домена, но денег ни разу в вашу систему не заводил,
>то есть вот эти 80 руб можете аннулировать, это не из моего кошелька.
>И ещё информация о данном домене, которую мне предоставил Сергей Семенов:
>--------------------------------------------------
>ДОМЕН
>--------------------------------------------------
>http://реселлерxxx2@mail.ru
>старый PassWord: xxx
>новый пароль: xxx
>То есть изначально был домен зарегистрирован на xxx2@mail.ru, затем уже Сергей во время
>продажи переносил его на xxx-ru@mail.ru. А я уже после этого перенёс его в 20-х числах сентября на
>babuwkamisha@gmail.com. Такая информация я думаю врядли найдётся у злоумышленника, если Вы его >спросите относительно данного домена.
>В письме-о��вете хочеться услышать, какие действия теперь я могу осуществить или же я потерял
>этот домен навсегда?
Следующее письмо:
Здравствуйте,
Вы же в пером письме писали, что у Вас украли email babuwkamisha@gmail.com…
А сейчас уже пишете про xxx@mail.ru
>07.10.2010 20:10 — Babuwka Misha написал(а):
>Да хостинг этого домена прикреплён к firstvds.ru изначально, и доступ у меня к нему был через мыло
>xxx@mail.ru, как и доступ ко всему отстальному, и всё нормально было раньше до того момента,
>пока месть мыло xxx@mail.ru у меня не угнали.
>Доступ к firstvds получить тоже немогу из-за того, что там поменяли пароль, а аккаунт firstvds
>прикреплён к тому мылу xxx@mail.ru.Отсюда и начались все проблемы. То мыло я вернуть не могу,
>и именно поэтому я начал недавно переносить домен из одного аккаунта на Вашем сайте на другой
>аккаунт. Зная секретный вопрос и кодовое слово я это легко сделал в конце сентября. И именно из-за
>потери хостинга на firstvds я совсем недавно и купил новый VDS на vds64.com, во-первых он и быстрее
>работает (технические характеристики сервера лучше), во-вторых я там настроил, чтоб доступ
>можно было восстановить в любое время с моего мобильного телефона, так как безопасность сейчас
>очень необходима мне.
>В админке домена после переноса я совсем недавно перебивал DNS (или NS, не знаю как правильно) на
>вот этот новый свой купленный VDS (ns1.vds64.com и ns2.vds64.com). А злоумышленник похитив снова
>домен опять прикрепил его к старому firstvds, доступ к которому у него есть.
Представьте себе реакцию сотрудника техподдержки, который постепенно узнает о том, что у клиента украли два почтовых ящика в двух разных системах, секретный ответ и кодовое слово, т.е. украли все и вся. Самое смешное, что именно так все и было.
Здравствуйте,
Вы так и не ответили, за сколько Вы купили этот домен?
>07.10.2010 21:20 — Babuwka Misha написал(а):
>И тот украли и новый емайл. Но этот из-за того что я его создавал сам, благодаря службам Google я 3
>раза уже восстановливал и снова терял это мыло. Покаместь вчера не поставил от Google — программу
>PC Tools Spyware Doctor. У меня на ноутбуке и на PC обнаружена была одна и та же угроза:
>Trackware.TrackingCookies. Всё из-за этой инфекции.
Далее.
Здравствуйте,
У вас остался контакт с владельцем домена у кого Вы его покупали?
>07.10.2010 22:15 — Babuwka Misha написал(а):
>за 800$.
Еще письмо:
Здравствуйте,
У Вас есть подтверждение процесса покупки данного домена?
>08.10.2010 00:10 — Babuwka Misha написал(а):
>Никакого контакта не осталось. Он когда продавал, говорил, что уходит в оффлайн бизнес, то ли
>автомастерскую открывает то ли ещё что-то. Его нет больше ни вконтакте ни т.д.
Должен сказать, что некоторое время у меня были подозрения, что данный субъект – это бедолага, которому мой продавец только что еще раз продал домен. Однако, со временем сомнения рассеялись: все та же детская «социальная инженерия», безусловно, – это мой продавец. К тому же, часть информации и весьма редкий для моего слуха термин «оффлайн бизнес» я уже слышал при покупке по icq.
После этого ресел��ер предложил мне прислать скрины Кипера и биллинга FirstVDS для подтверждения покупки и оплаты хостинга в течение последних шести месяцев. Мне показалось странным, что реселлер решил пуститься в эти выяснения, так как домен был перенесен согласно
Здравствуйте,
Как Вы платили за хостинг FirstVDS когда он еще был подконтролен Вам?
>08.10.2010 00:45 — Babuwka Misha написал(а):
>Нет. Я покупал налом, но при этом получил полный доступ без переоформления домена.
После этого письма мой продавец пропал и больше я о нем ничего не слышал. Периодически я посылал ему письма, замаскированные под спам, чтобы проверить, работает ли пересылка ко мне. Она включена до сих пор.
Было бы очень интересно узнать, что подумали об этой истории в техподдержке реселлера: вероятно, они решили, что мы поругались и после этого подрались за домен.
Примечание: думаю, мой продавец был прав, и аккаунт Google был действительно «взломан» посредством фишинговой ссылки. Имея доступ к ящику, я получил письмо от некоего Urals Bank, где мне высылались «мои новые реквизиты» с вложенным документом. Присмотревшись, я заметил, что «вложение» на самом деле находится в теле письма и просто стилизовано под вложение. При переходе по ссылке «загрузить» я попал на копию начальной страницы Gmail. Это должно было навести меня на мысль о том, что сессия сбросилась по таймауту, и необходимо авторизоваться заново. Адрес ссылки был очень длинным, в нем присутствовало слово «google», но, естественно, не на втором уровне. Вероятно, на одно из таких писем мой продавец и попался.
Спасибо, что прочитали мою статью. Надеюсь, она кажется для вас интересной и полезной.
UPD. В этой истории мне показалось странным следующее:
1. Реселлер не ведет длительных IP-логов для своей админки, иначе украинская прописка первоначального владельца была бы очевидной.
2. Реселлер не ведет логов смены ns-серверов, и о том, что они указывали на Firstvds.ru, он узнал от меня. Хотя до кражи я размещал домен еще у одного провайдера.
3. И самое странное: примерно в описанный период домен перешел в статус Verified. Это значит, что кто-то прислал регистратору сканы своего паспорта. Человек этот не объявился до сих пор.
На ящик babuwkamisha@gmail.com до сих пор приходят письма: спам из вконтакте, информация о регистрации нового доменного имени. Мой продавец разместил копию моего сайта на другом домене и не знает, что в следующий апдейт зеркальщика его сайт, согласно robots.txt, станет зеркалом моего. Интересно, читает ли он хабр?
И еще по поводу отсутствия перерегистрации: риск был заложен в цене сайта, она была для него явно занижена. К тому же очевидно, что мой продавец формальным владельцем не является и с ним не знаком.
