Кража доменов: Что делать, если во время этой массовой атаки у вас его увели

Мы партнеры руцентра, и домен одного из наших клиентов «увели».
Вот тут была первая «молния» про эту атаку habrahabr.ru/blogs/infosecurity/95705/

Косяк руцентра — при смене ДНС никаких уведомлений мне не пришло.
Что руцентр сделал хорошего — заблокировал временно смену партнера.

Хакеры сменили пароль доступа и нс-сервера.

НО! Этим он не ограничился. ВНИМАНИЕ! Зло хитро и противно.
В качестве ns-серверов хакер прописал ns.имясамогодомена.ru и такой же ns2, через пробел прописал айпи транспарентного прокси-сервера 62.122.75.80

Т.е. на лицо первый уровень маскировки.
Следующий фронт мимикрии — сервер по указанному адресу транспарентно брал контент со старого айпи-адреса (уж не знаю как).
Не знаю, сколько бы это всё продолжалось, но сервер хакеров начал давать сбои и перестал выдерживать нагрузку.

Тормоза сайта и отказ аутлука работь с почтой поднял панику сначала на стороне клиента, потом уже у нас в офисе.

Какое было недоумение и ощущение мистики, Вы бы знали ) Быстрый гуглинг айпишника вывел на статью в рунете про массовый взлом доменов (спасибо, %юзернейм%!).

Дальше действовали быстро (после постановки диагноза).

Итак, план действий, если Вы партнер Регистратора (nic.ru):

Из партнерского аккаунта меняем контактную почту администратора домена на актуальную и инициируем восстановление пароля, после чего меняем его.

Тут надо действовать МАКСИМАЛЬНО быстро, так как с момента смены почты хакеру прийдет об этом уведомление. Доменов они увели тысячи, вряд ли они успеют быстро отреагировать.
Уже ПОТОМ поменял dns-сервера. Важно сохранить последовательность, и действовать быстро.

Если Вы сами хозяин домена, и нет партнера — смело катайте официальное письмо регистратору, а при возможности приезжайте с паспортом.
Подробнее тут https://www.nic.ru/dns/service/faq.html#common (если вы под руцентром).

Сами работники руцентра рекомендуют запретить смену пароля из под аккаунта (это делается галочкой в админ-панели).

Всем владельцам хостингов, и у кого куча клиентов на впс сидит — пропингуйте по списку их домены, кто отличился айпишником — под микроскоп.

На заметку домовитой хозяйке. ВНИМАНИЕ! Не известно, какую информацию успели записать хакеры при проходе сайта через прокси, поэтому нужно поменять ВСЕ пароли доступа к контенту на сайте, почте, ftp, базе данных.

P.S. Что делать с другими регистраторами не знаю, mtw.ru и без всяких паролей и авторизаций прямо по телефону поменяют ns-сервера, reg.ru не имеет собственной партнерской базы в удобоваримом виде, кстати, с позицией Руцентра по делу torrents.ru я не согласен.

p.p.s. пользы ради — запостите, как у других регистраторов это происходит — отбивание атак, и поделитесь успешными историями.

Закончу пост на позитиве, отбить домен у Зла удалось, чего и Вам желаю!

Источник: http://habrahabr.ru/blogs/infosecurity/95772/

Google Buzz Vkontakte Facebook Twitter Google Bookmarks Digg Закладки Yandex Zakladok.net Reddit delicious БобрДобр.ru Memori.ru МоёМесто.ru

Добавить комментарий