Мы партнеры руцентра, и домен одного из наших клиентов «увели».
Вот тут была первая «молния» про эту атаку habrahabr.ru/blogs/infosecurity/95705/
Косяк руцентра — при смене ДНС никаких уведомлений мне не пришло.
Что руцентр сделал хорошего — заблокировал временно смену партнера.
Хакеры сменили пароль доступа и нс-сервера.
НО! Этим он не ограничился. ВНИМАНИЕ! Зло хитро и противно.
В качестве ns-серверов хакер прописал ns.имясамогодомена.ru и такой же ns2, через пробел прописал айпи транспарентного прокси-сервера 62.122.75.80
Т.е. на лицо первый уровень маскировки.
Следующий фронт мимикрии — сервер по указанному адресу транспарентно брал контент со старого айпи-адреса (уж не знаю как).
Не знаю, сколько бы это всё продолжалось, но сервер хакеров начал давать сбои и перестал выдерживать нагрузку.
Тормоза сайта и отказ аутлука работь с почтой поднял панику сначала на стороне клиента, потом уже у нас в офисе.
Какое было недоумение и ощущение мистики, Вы бы знали ) Быстрый гуглинг айпишника вывел на статью в рунете про массовый взлом доменов (спасибо, %юзернейм%!).
Дальше действовали быстро (после постановки диагноза).
Итак, план действий, если Вы партнер Регистратора (nic.ru):
Из партнерского аккаунта меняем контактную почту администратора домена на актуальную и инициируем восстановление пароля, после чего меняем его.
Тут надо действовать МАКСИМАЛЬНО быстро, так как с момента смены почты хакеру прийдет об этом уведомление. Доменов они увели тысячи, вряд ли они успеют быстро отреагировать.
Уже ПОТОМ поменял dns-сервера. Важно сохранить последовательность, и действовать быстро.
Если Вы сами хозяин домена, и нет партнера — смело катайте официальное письмо регистратору, а при возможности приезжайте с паспортом.
Подробнее тут https://www.nic.ru/dns/service/faq.html#common (если вы под руцентром).
Сами работники руцентра рекомендуют запретить смену пароля из под аккаунта (это делается галочкой в админ-панели).
Всем владельцам хостингов, и у кого куча клиентов на впс сидит — пропингуйте по списку их домены, кто отличился айпишником — под микроскоп.
На заметку домовитой хозяйке. ВНИМАНИЕ! Не известно, какую информацию успели записать хакеры при проходе сайта через прокси, поэтому нужно поменять ВСЕ пароли доступа к контенту на сайте, почте, ftp, базе данных.
P.S. Что делать с другими регистраторами не знаю, mtw.ru и без всяких паролей и авторизаций прямо по телефону поменяют ns-сервера, reg.ru не имеет собственной партнерской базы в удобоваримом виде, кстати, с позицией Руцентра по делу torrents.ru я не согласен.
p.p.s. пользы ради — запостите, как у других регистраторов это происходит — отбивание атак, и поделитесь успешными историями.
Закончу пост на позитиве, отбить домен у Зла удалось, чего и Вам желаю!
