Comments 32
Эээх, для большей остроты ощущений при чтении топика надо было в начале каждого абзаца ставить время на тот момент (типа хронометраж событий). :)
+5
пока читал, чуть не поседел. Чекнул ip — стало спокойнее.
Спасибо за информацию
Спасибо за информацию
+3
А как Вы проверили, что этот домен принадлежит именно этому Клиенту, если адрес электронной почты изменился (ведь именно завладев почтовым ящиком, злодеи получили доступ к админке nic.ru), пароля от админки nic.ru у Клиента уже нет?
Это очень важный вопрос для безопасности — и он не освещён.
Варианты: предоставить скан документов на организацию, скан паспорта, письмо с «доверенного» ящика в этом домене (вида admin@, webmaster@ и т.п. в данном домене).
Пока сами регистраторы не переживают — реселлеры могут сами прорабатывать варианты защиты от таких ситуаций.
Если Вы являетесь реселлером данного домена, можно организовать получение и обработку технических уведомлений, в том числе, о смене NS-серверов на Ваш адрес.
nic.ru их отсылает как в адрес владельца, так и партнёра (под чьим управлением находится домен). И это событие должно было насторожить.
Это очень важный вопрос для безопасности — и он не освещён.
Варианты: предоставить скан документов на организацию, скан паспорта, письмо с «доверенного» ящика в этом домене (вида admin@, webmaster@ и т.п. в данном домене).
Пока сами регистраторы не переживают — реселлеры могут сами прорабатывать варианты защиты от таких ситуаций.
Если Вы являетесь реселлером данного домена, можно организовать получение и обработку технических уведомлений, в том числе, о смене NS-серверов на Ваш адрес.
nic.ru их отсылает как в адрес владельца, так и партнёра (под чьим управлением находится домен). И это событие должно было насторожить.
+1
1. Дополните статью, как именно осуществлялась проверка, что к Вам обратился именно Ваш Клиент и этот Клиент является владельцем домена? Скан паспорта/юр.документов, письмо с «доверенного ящика» (admin@, webmaster@ и т.п. в этом домене)… Ведь Клиент не мог писать с угнанного адреса. Следовательно, надо исключать возможные злоупотребления на почве «угона доменов».
2. Вы, как партнёр nic.ru и домен под Вашим техническим управлением, должны были получить уведомление на свой адрес электронной почты, что изменились NS-сервера — уже это должно было насторожить.
2. Вы, как партнёр nic.ru и домен под Вашим техническим управлением, должны были получить уведомление на свой адрес электронной почты, что изменились NS-сервера — уже это должно было насторожить.
0
«Что делать, если во время этой массовой атаки у вас его увели»
ИМХО — менять профессию
ИМХО — менять профессию
-1
Если кто-то считает, что он совершить ошибку не может — то он совершает ошибку.
+7
Если кто-то считает, что может совершить ошибку — он перепроверит все и ошибок не допустит.
Угон, описанный в статье достаточно элементарен и рассчитан на тех, кому сайт нужен что б показать там как живет и развивается его щенок пуделя… На хабре даже недавно описывался вместе с кучей прог-авточекеров и сабмитеров. Человеку, которому его сайт нужен как продолжение или вообще основная часть бизнеса/развлечения/хобби такие ошибок допускать не совсем к лицу.
Угон, описанный в статье достаточно элементарен и рассчитан на тех, кому сайт нужен что б показать там как живет и развивается его щенок пуделя… На хабре даже недавно описывался вместе с кучей прог-авточекеров и сабмитеров. Человеку, которому его сайт нужен как продолжение или вообще основная часть бизнеса/развлечения/хобби такие ошибок допускать не совсем к лицу.
-4
И откуда столько пафоса…
+4
Там всё написано — просто пропинговали сервер и увидели айпишник, отличный от нашего основного сервера.
Почта на домене не менялась — читайте ссылку в начале.
Домен был зареган на ящик на халявной почте, который быз удален за безактивностью добросердечным мейл.ру
хацкер просто по новой зарегал почту на мейл.ру и инициировал на ник.ру восстановление пароля на почту.
далее перебил тупо все в настройках и все.
такие дела.
Почта на домене не менялась — читайте ссылку в начале.
Домен был зареган на ящик на халявной почте, который быз удален за безактивностью добросердечным мейл.ру
хацкер просто по новой зарегал почту на мейл.ру и инициировал на ник.ру восстановление пароля на почту.
далее перебил тупо все в настройках и все.
такие дела.
0
> Там всё написано — просто пропинговали сервер и увидели айпишник, отличный от нашего основного сервера.
Собственно, самый простой способ — посмотреть данные по домену в Вашем партнёрском аккаунте на nic.ru (и более быстрый, в ощем случае лучше смотреть по whois, он меняется почти сразу, а зона обновляется дольше — т.е. проверяя пингами Вы дождётесь обновления зоны).
> Почта на домене не менялась — читайте ссылку в начале.
Именно! То есть Ваш Клиент не мог написать Вам с адреса регистрации домена. Как же Вы определили, что это Ваш Клиент?
И интересно, пришло ли Вам, как реселлеру, письмо о смене NS-серверов? Должно было придти.
Собственно, самый простой способ — посмотреть данные по домену в Вашем партнёрском аккаунте на nic.ru (и более быстрый, в ощем случае лучше смотреть по whois, он меняется почти сразу, а зона обновляется дольше — т.е. проверяя пингами Вы дождётесь обновления зоны).
> Почта на домене не менялась — читайте ссылку в начале.
Именно! То есть Ваш Клиент не мог написать Вам с адреса регистрации домена. Как же Вы определили, что это Ваш Клиент?
И интересно, пришло ли Вам, как реселлеру, письмо о смене NS-серверов? Должно было придти.
0
Каждого, кто у нас хостится или купил домен — кто либо из наших знает или видел лично, у нас нет массового подхода к клиенту и на перепродажи доменов мы не зарабатываем.
Узнали элементарно — позвонили по телефону.
В нашем цифровом веке всё ещё можно узнать человека не только по почте ;)
Узнали элементарно — позвонили по телефону.
В нашем цифровом веке всё ещё можно узнать человека не только по почте ;)
0
Письмо не пришло и это удивительно
+1
У партнера есть возможность вывести список доменов вместе с NS-ами, и пострадавших «починить».
среди наших клиентов оказалось несколько пострадавших, нс-ы поправили, саппорт завтра будет обзванивать и сообщать.
среди наших клиентов оказалось несколько пострадавших, нс-ы поправили, саппорт завтра будет обзванивать и сообщать.
+1
А как же телефон? В моем домене четко стоит «phone», нельзя через него восстановить контроль над доменом?
0
Регистратор, скорее всего, пойдёт Вам навстречу. Восстановление пароля по номеру телефону пока ни один регистратор не предоставляет.
Только вот описанный способ перехвата управления доменом даёт возможность сменить и телефон, просто такой задачи не ставилось.
А вот сменить владельца в зонах RU, РФ — не получится. Т.е. именно эти сведения ключевые для установления действительного владельца домена.
Для Ru-Center (раз уж в статье речь о нём), если утерян доступ к адресу электропочты и нельзя воспользоваться автоматическим восстановлением пароля, есть только восстановление пароля по официальному письму:
Только вот описанный способ перехвата управления доменом даёт возможность сменить и телефон, просто такой задачи не ставилось.
А вот сменить владельца в зонах RU, РФ — не получится. Т.е. именно эти сведения ключевые для установления действительного владельца домена.
Для Ru-Center (раз уж в статье речь о нём), если утерян доступ к адресу электропочты и нельзя воспользоваться автоматическим восстановлением пароля, есть только восстановление пароля по официальному письму:
+1
собственно ссылка про письмо в Ru-Center
https://www.nic.ru/dns/docs/passwd.html
https://www.nic.ru/dns/docs/passwd.html
+1
В том году ещё была лазейка с уводом доменов, оформленных на юриков, в этом не знаю — закрыли или нет.
0
UFO just landed and posted this here
> Следующий фронт мимикрии — сервер по указанному адресу транспарентно брал контент со старого айпи-адреса (уж не знаю как).
Никакой мистики. Прокси-сервер. Если Вы посмотрите в логи сайта, то увидите там запросы только с IP этого прокси-сервера с момента обновления зоны.
К слову, это даёт возможность отслеживать трафик и подменять его, «дополняя», например, рекламой. Т.е. использование — зависит от фантазии злодея.
Никакой мистики. Прокси-сервер. Если Вы посмотрите в логи сайта, то увидите там запросы только с IP этого прокси-сервера с момента обновления зоны.
К слову, это даёт возможность отслеживать трафик и подменять его, «дополняя», например, рекламой. Т.е. использование — зависит от фантазии злодея.
+1
UFO just landed and posted this here
Подтверждаю, точно таким же образом вчера был украден домен одного из наших клиентов. ДНС сменились без какого-либо уведомления со стороны РУ-центра.
+1
Ошибка на уровне 1999 года, когда таким же образом уводили массово ICQ аккаунты.
Не понимаю как же можно пользоваться mail.ru?
Не понимаю как же можно пользоваться mail.ru?
+2
А долго домен был украден? Сколько времени понадобилось на то что бы заметить? Заметили только тогда когда почта перестала работать?
+2
Sign up to leave a comment.
Articles
Change theme settings
Кража доменов: Что делать, если во время этой массовой атаки у вас его увели