Кража доменов: Что делать, если во время этой массовой атаки у вас его увели

Мы партнеры руцентра, и домен одного из наших клиентов «увели». Вот тут была первая «молния» про эту атаку habrahabr.ru/blogs/infosecurity/95705/ Косяк руцентра — при смене ДНС никаких уведомлений мне не пришло. Что руцентр сделал хорошего — заблокировал временно смену партнера. Хакеры сменили пароль доступа и нс-сервера. НО! Этим он не ограничился. ВНИМАНИЕ! Зло хитро и противно. В качестве ns-серверов хакер прописал ns.имясамогодомена.ru и такой же ns2, через пробел прописал айпи транспарентного прокси-сервера 62.122.75.80 Т.е. на лицо первый уровень маскировки. Следующий фронт мимикрии — сервер по указанному адресу транспарентно брал контент со старого айпи-адреса (уж не знаю как). Не знаю, сколько бы это всё продолжалось, но сервер хакеров начал давать сбои и перестал выдерживать нагрузку. Тормоза сайта и отказ аутлука работь с почтой поднял панику сначала на стороне клиента, потом уже у нас в офисе. Какое было недоумение и ощущение мистики, Вы бы знали ) Быстрый гуглинг айпишника вывел на статью в рунете про массовый взлом доменов (спасибо, %юзернейм%!). Дальше действовали быстро (после постановки диагноза). Итак, план действий, если Вы партнер Регистратора (nic.ru): Из партнерского аккаунта меняем контактную почту администратора домена на актуальную и инициируем восстановление пароля, после чего меняем его. Тут надо действовать МАКСИМАЛЬНО быстро, так как с момента смены почты хакеру прийдет об этом уведомление. Доменов они увели тысячи, вряд ли они успеют быстро отреагировать. Уже ПОТОМ поменял dns-сервера. Важно сохранить последовательность, и действовать быстро. Если Вы сами хозяин домена, и нет партнера — смело катайте официальное письмо регистратору, а при возможности приезжайте с паспортом. Подробнее тут https://www.nic.ru/dns/service/faq.html#common (если вы под руцентром). Сами работники руцентра рекомендуют запретить смену пароля из под аккаунта (это делается галочкой в админ-панели). Всем владельцам хостингов, и у кого куча клиентов на впс сидит — пропингуйте по списку их домены, кто отличился айпишником — под микроскоп. На заметку домовитой хозяйке. ВНИМАНИЕ! Не известно, какую информацию успели записать хакеры при проходе сайта через прокси, поэтому нужно поменять ВСЕ пароли доступа к контенту на сайте, почте, ftp, базе данных. P.S. Что делать с другими регистраторами не знаю, mtw.ru и без всяких паролей и авторизаций прямо по телефону поменяют ns-сервера, reg.ru не имеет собственной партнерской базы в удобоваримом виде, кстати, с позицией Руцентра по делу torrents.ru я не согласен. p.p.s. пользы ради — запостите, как у других регистраторов это происходит — отбивание атак, и поделитесь успешными историями. Закончу пост на позитиве, отбить домен у Зла удалось, чего и Вам желаю! Источник: http://habrahabr.ru/blogs/infosecurity/95772/
Google Buzz Vkontakte Facebook Twitter Google Bookmarks Digg Закладки Yandex Zakladok.net Reddit delicious БобрДобр.ru Memori.ru МоёМесто.ru

Добавить комментарий