Как зарегистрировать новый домен и сразу получить проблемы
25 декабря 2025 я зарегистрировал в RU-Center новый домен в зоне .RU.
Прописал NS-записи на Beget, но сам домен в панели не добавлял — не нужен был на этом этапе. Обычно в таких случаях при открытии домена в браузере показывается стандартная заглушка Beget: «Домен не прилинкован к директории».
Начались праздники, я забыл о нём.
14 января — сюрприз от RU-Center
Получаю письмо:
«В соответствии с пунктом 5.7 Правил регистрации доменных имен делегирование домена [domain.tld] приостановлено...»
«По вопросам разъяснения причин прекращения делегирования рекомендуем обращаться: incident@cert.gov.ru».
А чуть ниже — цитата от НКЦКИ (Национальный координационный центр по компьютерным инцидентам):
«Доменное имя [domain.tld] используется для проведения компьютерных атак.»
«Тип атаки: фишинг.»
«Легитимный сайт — https://web.telegram.org/».
Видимо, мой домен кто-то использовал для фишинга Telegram.
Первая реакция — «ну и ладно, не сильно нужен он мне», но потом включилась профессиональная деформация: надо разобраться.
Пишу в RU-Center
«Подскажите дату, когда была зафиксирована атака. Я зарегистрировал домен 29.12.2025, он был на DNS Beget, но не использовался — только заглушка.»
Ответ стандартный:
«Жалоба поступила 14.01.2026. По вопросам разъяснен��я причин рекомендуем обращаться в НКЦКИ.»
Пишу в НКЦКИ
«Домен зарегистрирован 29.12.2025, DNS прописаны на Beget, но не прилинкован. Как он мог участвовать в атаке?»
Ответ неожиданный:
«Ваш домен был взломан путем подмены DNS-записи у провайдера хостинга. В результате размещался фишинговый контент. Дата обнаружения — 14.01.2026. Возможно, взлом произошёл раньше. Просим обратиться к хостинг-провайдеру и обеспечить корректную настройку DNS.»
Хорошо. Пишу в Beget.
Пишу в Beget
«Домен был зарегистрирован 29.12, прописан в NS, но не добавлен в аккаунт. НКЦКИ пишет, что DNS были подменены. Прошу разобраться.»
Ответ:
«Домен [domain.tld] находится на аккаунте с логином [username]. У вас есть доступ к этому аккаунту?»
Нет, конечно. И понятия не имею, кто это.
Дальше — процесс восстановления, подтверждения, перенос на мой аккаунт. Всё закончилось благополучно, но с неприятным послевкусием.
Развязка
Позже я уточнил у Beget:
«Когда домен был добавлен в чужой аккаунт?»
Ответ: «30.12.2025.»
То есть сразу после регистрации домена кто-то добавил его к себе.
Это даже не взлом в классическом смысле, а скорее «киберсквоттинг на уровне DNS» — когда ловят новые домены, прописанные на публичные NS, и быстро создают запись у себя, пока владелец не дошёл до панели.
Выводы
Не оставляйте домен “висеть” без зоны. Даже если кажется, что всё под контролем.
Сразу добавляйте домен в хостинг и создавайте зону DNS. Пусть даже просто указывает на пустую директорию.
Проверяйте, на чьих серверах реально отвечает ваш домен.
Не полагайтесь на “по умолчанию” — иногда именно там и происходит самое интересное.
Действуя на расслабоне, я оставил лазейку, которой кто-то воспользовался.
Я делаю конструктор Телеграм-ботов «Бот в блокноте» и веду канал про ИИ-клиент «Cherry Studio» — ссылки можно найти в моём профиле 👇. Присоединяйтесь!
