Кража доменных имен

3 июня началась массовая кража доменных имен и все домены были украдены по одинаковой схеме:

1) У доменного имени в контактах указан e-mail на mail.ru;
2) е-mail стал доступным для повторной регистрации, так как e-mail никем не использовались и сервис их освободил;
3) Все e-mail были заново зарегистрированы. Данные по этим e-mail была взята из whois;
4) По всем доменам был запрос пароля на регистроторе nic.ru
5) У всех доменов днс были изменены на ns1.domain.ru и ns2.domain.ru, где domain.ru – имя домена, у которого менялся днс.
6) Все новые ns- и a-записи указывали на адреса из одной и той же сетки: 62.122.75.0/24.

При обращении к соответствущим сайтам запросы переадресуются на реальные сервера хостинга.

Таким образом факт воровства пока визуально почти не заметен, однако злоумышленники контролируют весь трафик с сайтов и в любой момент могут заменить любую выдаваемую сайтом информацию на свою собственную.

Что делать если домен все таки увели

В аккаунте меняем почту администратора на более актуальную , после чего запрашиваем востановление пароля и меняем его.

Действовать нужно быстро, так как когда произойдет смена почты, злоумышленнк получит об этом уведомление. Доменов  украли тысячи, вряд ли воры успеют быстро среагировать.

Уже потом поменять днс-сервера. Важно сохранить последовательность действий.

Работники Руцентра рекомендуют запретить смену пароля из под аккаунта.

Не известно, какие данные успели записать взломщики при проходе сайта через прокси, поэтому нужно сменить все пароли доступа на сайте, почте, фтп и базе данных.

-

Интересное на сегодня – классные советы по AdSense, да не просто классные, а целый курс по заработку на микронишевых MFA. Вообщем Made For Adsense Forever!