Comments 32
Эээх, для большей остроты ощущений при чтении топика надо было в начале каждого абзаца ставить время на тот момент (типа хронометраж событий). :)
пока читал, чуть не поседел. Чекнул ip — стало спокойнее.
Спасибо за информацию
Спасибо за информацию
А как Вы проверили, что этот домен принадлежит именно этому Клиенту, если адрес электронной почты изменился (ведь именно завладев почтовым ящиком, злодеи получили доступ к админке nic.ru), пароля от админки nic.ru у Клиента уже нет?
Это очень важный вопрос для безопасности — и он не освещён.
Варианты: предоставить скан документов на организацию, скан паспорта, письмо с «доверенного» ящика в этом домене (вида admin@, webmaster@ и т.п. в данном домене).
Пока сами регистраторы не переживают — реселлеры могут сами прорабатывать варианты защиты от таких ситуаций.
Если Вы являетесь реселлером данного домена, можно организовать получение и обработку технических уведомлений, в том числе, о смене NS-серверов на Ваш адрес.
nic.ru их отсылает как в адрес владельца, так и партнёра (под чьим управлением находится домен). И это событие должно было насторожить.
Это очень важный вопрос для безопасности — и он не освещён.
Варианты: предоставить скан документов на организацию, скан паспорта, письмо с «доверенного» ящика в этом домене (вида admin@, webmaster@ и т.п. в данном домене).
Пока сами регистраторы не переживают — реселлеры могут сами прорабатывать варианты защиты от таких ситуаций.
Если Вы являетесь реселлером данного домена, можно организовать получение и обработку технических уведомлений, в том числе, о смене NS-серверов на Ваш адрес.
nic.ru их отсылает как в адрес владельца, так и партнёра (под чьим управлением находится домен). И это событие должно было насторожить.
1. Дополните статью, как именно осуществлялась проверка, что к Вам обратился именно Ваш Клиент и этот Клиент является владельцем домена? Скан паспорта/юр.документов, письмо с «доверенного ящика» (admin@, webmaster@ и т.п. в этом домене)… Ведь Клиент не мог писать с угнанного адреса. Следовательно, надо исключать возможные злоупотребления на почве «угона доменов».
2. Вы, как партнёр nic.ru и домен под Вашим техническим управлением, должны были получить уведомление на свой адрес электронной почты, что изменились NS-сервера — уже это должно было насторожить.
2. Вы, как партнёр nic.ru и домен под Вашим техническим управлением, должны были получить уведомление на свой адрес электронной почты, что изменились NS-сервера — уже это должно было насторожить.
«Что делать, если во время этой массовой атаки у вас его увели»
ИМХО — менять профессию
ИМХО — менять профессию
Если кто-то считает, что он совершить ошибку не может — то он совершает ошибку.
Если кто-то считает, что может совершить ошибку — он перепроверит все и ошибок не допустит.
Угон, описанный в статье достаточно элементарен и рассчитан на тех, кому сайт нужен что б показать там как живет и развивается его щенок пуделя… На хабре даже недавно описывался вместе с кучей прог-авточекеров и сабмитеров. Человеку, которому его сайт нужен как продолжение или вообще основная часть бизнеса/развлечения/хобби такие ошибок допускать не совсем к лицу.
Угон, описанный в статье достаточно элементарен и рассчитан на тех, кому сайт нужен что б показать там как живет и развивается его щенок пуделя… На хабре даже недавно описывался вместе с кучей прог-авточекеров и сабмитеров. Человеку, которому его сайт нужен как продолжение или вообще основная часть бизнеса/развлечения/хобби такие ошибок допускать не совсем к лицу.
Там всё написано — просто пропинговали сервер и увидели айпишник, отличный от нашего основного сервера.
Почта на домене не менялась — читайте ссылку в начале.
Домен был зареган на ящик на халявной почте, который быз удален за безактивностью добросердечным мейл.ру
хацкер просто по новой зарегал почту на мейл.ру и инициировал на ник.ру восстановление пароля на почту.
далее перебил тупо все в настройках и все.
такие дела.
Почта на домене не менялась — читайте ссылку в начале.
Домен был зареган на ящик на халявной почте, который быз удален за безактивностью добросердечным мейл.ру
хацкер просто по новой зарегал почту на мейл.ру и инициировал на ник.ру восстановление пароля на почту.
далее перебил тупо все в настройках и все.
такие дела.
> Там всё написано — просто пропинговали сервер и увидели айпишник, отличный от нашего основного сервера.
Собственно, самый простой способ — посмотреть данные по домену в Вашем партнёрском аккаунте на nic.ru (и более быстрый, в ощем случае лучше смотреть по whois, он меняется почти сразу, а зона обновляется дольше — т.е. проверяя пингами Вы дождётесь обновления зоны).
> Почта на домене не менялась — читайте ссылку в начале.
Именно! То есть Ваш Клиент не мог написать Вам с адреса регистрации домена. Как же Вы определили, что это Ваш Клиент?
И интересно, пришло ли Вам, как реселлеру, письмо о смене NS-серверов? Должно было придти.
Собственно, самый простой способ — посмотреть данные по домену в Вашем партнёрском аккаунте на nic.ru (и более быстрый, в ощем случае лучше смотреть по whois, он меняется почти сразу, а зона обновляется дольше — т.е. проверяя пингами Вы дождётесь обновления зоны).
> Почта на домене не менялась — читайте ссылку в начале.
Именно! То есть Ваш Клиент не мог написать Вам с адреса регистрации домена. Как же Вы определили, что это Ваш Клиент?
И интересно, пришло ли Вам, как реселлеру, письмо о смене NS-серверов? Должно было придти.
Каждого, кто у нас хостится или купил домен — кто либо из наших знает или видел лично, у нас нет массового подхода к клиенту и на перепродажи доменов мы не зарабатываем.
Узнали элементарно — позвонили по телефону.
В нашем цифровом веке всё ещё можно узнать человека не только по почте ;)
Узнали элементарно — позвонили по телефону.
В нашем цифровом веке всё ещё можно узнать человека не только по почте ;)
Письмо не пришло и это удивительно
У партнера есть возможность вывести список доменов вместе с NS-ами, и пострадавших «починить».
среди наших клиентов оказалось несколько пострадавших, нс-ы поправили, саппорт завтра будет обзванивать и сообщать.
среди наших клиентов оказалось несколько пострадавших, нс-ы поправили, саппорт завтра будет обзванивать и сообщать.
А как же телефон? В моем домене четко стоит «phone», нельзя через него восстановить контроль над доменом?
Регистратор, скорее всего, пойдёт Вам навстречу. Восстановление пароля по номеру телефону пока ни один регистратор не предоставляет.
Только вот описанный способ перехвата управления доменом даёт возможность сменить и телефон, просто такой задачи не ставилось.
А вот сменить владельца в зонах RU, РФ — не получится. Т.е. именно эти сведения ключевые для установления действительного владельца домена.
Для Ru-Center (раз уж в статье речь о нём), если утерян доступ к адресу электропочты и нельзя воспользоваться автоматическим восстановлением пароля, есть только восстановление пароля по официальному письму:
Только вот описанный способ перехвата управления доменом даёт возможность сменить и телефон, просто такой задачи не ставилось.
А вот сменить владельца в зонах RU, РФ — не получится. Т.е. именно эти сведения ключевые для установления действительного владельца домена.
Для Ru-Center (раз уж в статье речь о нём), если утерян доступ к адресу электропочты и нельзя воспользоваться автоматическим восстановлением пароля, есть только восстановление пароля по официальному письму:
собственно ссылка про письмо в Ru-Center
https://www.nic.ru/dns/docs/passwd.html
https://www.nic.ru/dns/docs/passwd.html
В том году ещё была лазейка с уводом доменов, оформленных на юриков, в этом не знаю — закрыли или нет.
> Следующий фронт мимикрии — сервер по указанному адресу транспарентно брал контент со старого айпи-адреса (уж не знаю как).
Никакой мистики. Прокси-сервер. Если Вы посмотрите в логи сайта, то увидите там запросы только с IP этого прокси-сервера с момента обновления зоны.
К слову, это даёт возможность отслеживать трафик и подменять его, «дополняя», например, рекламой. Т.е. использование — зависит от фантазии злодея.
Никакой мистики. Прокси-сервер. Если Вы посмотрите в логи сайта, то увидите там запросы только с IP этого прокси-сервера с момента обновления зоны.
К слову, это даёт возможность отслеживать трафик и подменять его, «дополняя», например, рекламой. Т.е. использование — зависит от фантазии злодея.
Подтверждаю, точно таким же образом вчера был украден домен одного из наших клиентов. ДНС сменились без какого-либо уведомления со стороны РУ-центра.
Ошибка на уровне 1999 года, когда таким же образом уводили массово ICQ аккаунты.
Не понимаю как же можно пользоваться mail.ru?
Не понимаю как же можно пользоваться mail.ru?
А долго домен был украден? Сколько времени понадобилось на то что бы заметить? Заметили только тогда когда почта перестала работать?
Sign up to leave a comment.
Кража доменов: Что делать, если во время этой массовой атаки у вас его увели