親愛なるhabravchane! 私に起こった物語の1つは、常に起こりますが、私の場合の結末は非常にまれです。
特定の理由により、この記事ではリセラーのドメインと名前を示しません。 それらを特定できる人は、コメントで公開しないようにお願いします。
2010年10月に起こりました。 この6か月前-5月上旬-再登録せずにサイトを購入しました。幸いなことに、すべてが私の売り手がすでに5番目または6番目の所有者であったことを示していました。 取引価格は24,000ルーブルに達しました。 私は受け取った:
-ドメインリセラーの管理者パネルのログイン/パスワード。
-メールボックスxxx@mail.ruのパスワード。
-login /サイトが配置されているfirstvds.ruアカウントにアクセスするためのパスワード。
-login / CMS Wordpressの管理部分にアクセスするためのパスワード。
購入の瞬間から約半年が経ち、すべてが通常通りに行われました。9月の終わりのある日、Wordpressのパスワード回復に関するメッセージをメールで受け取りました。 すぐに、xxx @ mail.ruメールボックスとドメイン再販業者の管理領域にアクセスできなくなったことがわかりました。 ルートns-serversの対応するエントリを調べたところ、ドメインのポインターが別のホスティングvds64.comを既に参照していることがわかりました。 これがどのように起こるかに対する答えはすぐに出ました:xxx@mail.ruメールボックスの復旧オプション(秘密の質問と電話番号)を変更することはありませんでした。また、それらを使用する誰かも販売店の管理パネルにアクセスしました彼女がこのメールボックスにどのように結びついていたか。 残っているのはホストアカウントへのアクセスだけです。これは、連絡先メールアドレスを変更したためです。 当時、それは重要ではありませんでしたが、先を見て、これが私を救ったと言います。 これは私の売り手に他ならないことは間違いありません。 運が良かったので、私は誕生日にこのすべてを知りました。
数日間自分自身について理解できるように考えた後、私は非常に有名なフォーラムに行きました。そこでは、シルバーメンバーのステータスとその設立のほぼ最初からの登録が私に対する一定の信頼を意味し、サービスを提供する人に行きました...盗まれたメールボックスへのアクセスを復元します。 3日後、新しい友人は、盗まれたメールボックスから現在のパスワードを教えてくれて驚いた。 発行価格は1500 WMRでした。
すべてが迅速に解決されたことに触発されて、私はメールに行き、リセラーの管理パネルへのアクセスを取り戻しました。 ここで私は非常に失望しました:パスワードを取得するには、私が持っていなかった秘密の質問への答えを知る必要があります...
メールボックスを調べると、慎重にクリーニングされていることがわかりました。送信メールはまったくなく、受信ボックスには、パスワードをリセットするためのリンクが記載された再販業者からの手紙が含まれていました。これは当然、もう機能しませんでした。変更されたnsサーバーはまだ適用されていません。 チケットで引用された質問で、私の売り手はコードワードを示しました。 将来を見据えて、これが彼の最初の戦略的ミスだったと言えます。
また、ボックスにはSape取引所の管理者への手紙があり、システムのログインをリコールするよう求めていますが、Operaブラウザでのアカウントの保存を使用して、クラッシュの結果としてこのデータが失われたという話が伝えられました。 このことから、売り手がそのような「ソーシャルエンジニアリング」を使用している場合、売り手は非常に若いと結論付けました。
1〜2日が経過し、whois-domainデータに別の登録住所が表示されました。 babuwkamisha@gmail.comをそのままお持ちします。 おそらく、私の売り手はmail.ruメールボックスの紛失の事実を発見し、ドメインを別の再販業者アカウントに移行しました。
リセラーのセキュリティポリシーについて少し気を散らし、簡単に説明します。ログインは、whoisのアドレスと一致しない可能性のあるメールアドレスです。テクニカルサポートと通信するためのコードワードとパスワード回復のための秘密の質問があります。 再販業者との通信は、戦いが繰り広げられるログイン用メールアドレスから行う必要があります。
販売代理店のパスワード再設定ページにアクセスして、新しいメールボックスを指定し、秘密の質問に答えるという提案を受けました。 これは、リセラーで指定されたアドレスを持つアカウントが存在し、私のドメインがそこにある可能性が高いことを意味しました。
私は再び新しい友人に目を向けました。
-メールボックス?
-仕事に取ります。
3日後、Gmailのメールボックスから現在のパスワードを再び受け取ったときの驚きを想像してください。 ハッキング方法についてはメモに書きます。 発行価格は80 WMZでした。
上記のように、メールへのアクセスがドメインの制御を取り戻すのに十分ではないため、この2番目のジョブを注文するとき、成功への期待はすでにゼロに近かったと言わなければなりません。 予想通り、箱はきれいできれいでした...
何もすることなく、受け取ったパスワードを使用してWordpress管理パネルにアクセスしようとしました。 そして、見よ、パスワードが出ました! 残念ながら、再販業者の管理者側はその時点では機能しませんでした。 再販業者は、データセンターでの事故によりこれを説明しました。 私は彼女の仕事の回復を待っていたどのような焦りで表現することはできません。 それは1日後に起こり、パスワードが近づき、私はそれを新しいものに変更し、リセラーのDNSサーバー、Gmailの受信トレイの復旧の詳細を変更し、喜んで寝ました。
朝起きて、メールボックスとドメインに再びアクセスできないことがわかりました。 なんてこった!
絶望から、Googleアカウントの復旧ページに行きました。 Mail.ruとは異なり、このサービスは非常に迅速に機能します。 少し気が散るので、それについて少し言います。メールボックスに入ったら、人はほとんど無制限のデータを受け取ってアクセスを復元します。 それだけでなく、最近パスワードを変更した場合、以前のパスワードを知っている人は、受信トレイを永久に取り出すためにモニターを一回見るだけでよい場合があります。
そのため、約1時間後に、アクセスを回復するためのリンクをGoogleから受け取りました。
販売代理店の管理パネルには既に別のパスワードがあり、それを受け取るには秘密の質問の答えを知る必要がありました。 リセラーテクニカルサポートに手紙を書いて、彼に「思い出させる」ように頼みました。前のアカウントで知っていたコードワードの運を示しています。その後、リセラーから「私のお気に入りの都市」がマルセイユであることがわかりました。 したがって、私の売り手は新しいアカウントのコードワードを変更することを気にせず、これは彼の2番目の戦略的ミスでした。
繰り返しますが、メールボックスは変更できないため、リセラー管理パネルのすべての詳細、主にDNSサーバーを変更しました。 その後、私の売り手は、Gmailによればウクライナにいて、夜だけにWebに登場し、同じ方法で再び自分自身に持ち帰りました。
このボックスの相互のドラッグは3日間続きました。
それ以降のアクションは明らかでした。ログインメールがwhoisからのデータと一致しなかった新しいアカウントにドメインを転送する必要がありました。 問題は、ドメインが1週間前に移管され、再販業者が再移管に30日間の制限があることでした。
メールボックスを所有してから3日目で、約19時間でした。 その少し前に、80ルーブルをアカウントに投入してウォレットに「マーク」を付けました。これは、支払人のウォレット番号が再販業者のセキュリティポリシーの重要な要素だからです。 突然、私は、残りの3週間は伸ばすことができなかったことに気付きました。箱へのアクセスが移る頃には、もう手に入らないかもしれません。 私は、誰かが私のメールを使用している疑いでリセラーに手紙を書きました(実際にはそうでしたが、箱は完全に私のものではありませんでした)。 1時間後、制限が解除されたことが通知され、パスワードとコードワードを使用して、非常に迅速にドメインを事前に準備されたアカウントに移行しました。 そして、時間通りに:その瞬間から、私はGoogleからボックスへのアクセスの回復へのリンクを受け取りませんでした。 とりわけ、私は500ルーブルを新しいアカウントに投入しました。 更新期間が1〜2か月で終了したため、ドメインを更新しました。
夕方、私の売り手は再びメールボックスにアクセスし、その後、再販業者の管理パネルにアクセスして、そこに行きました...私のドメインはそこに見つかりませんでした。 現時点では、彼はパニックに陥っていたと思います。復元されたボックスで、彼は他のアドレスへの転送を削除するのを忘れていたので、再販業者との通信をすべて読む機会がありました。 あなたが知っているように、誰が情報を所有していて、それが世界を所有しているので、彼の最初の手紙を見たとき、私は笑って爆発しました。 ここにあります(再販業者からの手紙は私の売り手からの以前の手紙への応答なので、下から読んでください):
こんにちは
ドメインを移管するには、コードワードを知っている必要があります。 攻撃者はあなたのコードワードを知っていましたか?
どのウォレットから残高を補充しましたか?
> 10/06/2010 22:35-ミハイル・バブスキンは次のように書いた:(a):
>電子メールアドレスbabuwkamisha@gmail.comアドレスを持つクライアントMikhail Babushkin
>質問:
>おはようございます。
>最近、Sergey Semenovからドメインxxx.ruを更新せずに購入しました。 コード
>単語:xxx。 秘密の質問:あなたの好きな都市、答え:マルセイユ。
>このドメインをメールボックスbabuwkamisha@gmail.comに移しました。 しかし、数日前に
>私はパスワードのフィッシング詐欺に盗まれ、両方に完全にアクセスできました
> soap、およびドメイン管理パネルに移動し、DNSサーバーを独自のものに変更しました。 今日は
> Googleを介してメールへのアクセスを復元し、現在、
> admin.panel reg.ru、ここでドメインが見つかりません。 場所を追跡する方法
>ドメインが移管され、返品方法は? 事前に感謝します。手紙は急いではっきりと書かれていた。
その直後、再販業者は私に質問を書いた。
こんにちは
アカウントのドメインXXX.RUの起源を説明してもらえますか?
このドメインの所有者ですか?
このドメインの所有権についての申し立てを受けました。私は、私のメールボックスがすべての内容で盗まれたと答えました。 また、6か月前に800ドルでドメインを購入したという事実もあります。つまり、今回はFirstVDSサーバー上にあり、財布から支払われていたということです。
その後、私の売り手の通信の継続に従いました。
こんにちは
購入時にドメインにいくら払ったのですか? この金額を認識しました。
このドメインは、5月7日から現在までFirstVDSに接続されています。 つまり 攻撃者は、ドメインがどこにも接続されていないと判明しました。 FirstVDSのアカウントにアクセスできますか? ドメインは、同じホスティングに接続されているときに常に取得されます。 あなたがその正当な所有者であれば、サイトにテストページを作成し、そこに確認テキストを配置することは難しくありません。
> 10/07/2010 00:35-バブフカミシャはこう書いています:
>受信箱に、ドメインへのすべてのデータを含む売り手からの手紙がありました。
>それはメールから:xxx-ru@mail.ru
>そして、この手紙には、サイトに関するさまざまな情報が含まれていました(手紙の一部です)。
-> wordpress管理エリアへのアクセス
-> http://www.xxx.ru/wp-login.php
>ログイン:admin
>パスワード:xxx
> https://再販業者
>コードワード:xxx
>好きな都市は? マルセイユ
>いつでも忘れないように、アカウントにまったく同じコードワードと秘密の質問を入力しました
> xxx-ru@mail.ruからGmailアカウントにドメインを移管しました。 どうやら私のメールにアクセスできるようになり、
>入ってくる手紙はコードワードと秘密の質問への答えを学びました。
> 80ルーブルの補充。 しなかった。 もちろん、私はすぐにドメインを更新するつもりでしたが、
>私の意見では、ドメインの期間は11月21日に期限切れになりますが、システムに入金したことがないため、
>つまり、これらの80ルーブルをキャンセルできます。これは私の財布からではありません。
>そして、Sergey Semenovから提供されたこのドメインに関する詳細情報:
> ------------------------------------------------- -
>ドメイン
> ------------------------------------------------- -
> http://resellerxxx2@mail.ru
>古いパスワード:xxx
>新しいパスワード:xxx
>つまり、最初にドメインはxxx2@mail.ruに登録され、次にSergeyは
>売上高はxxx-ru@mail.ruに転送しました。 その後、9月20日にそれをに転送しました
> babuwkamisha@gmail.com。 このような情報は、このドメインについて攻撃者に尋ねた場合、攻撃者によって発見される可能性は低いと思います。
>返事の手紙で、私が今できること、または失ったことを聞いてみたい
>このドメインは永遠に?
次の手紙:
こんにちは
あなたはあなたのメールがbabuwkamisha@gmail.comから盗まれたことを最初の手紙で書きました...
xxx@mail.ruについて書いてください
> 2010年10月10日20:10-バブフカミシャは次のように書いています(a):
>はい、このドメインのホスティングは最初にfirstvds.ruに接続されており、soapを介してアクセスできました
> xxx@mail.ru、後方へのすべてへのアクセス、および以前はすべて順調でしたが、
>復soap石鹸xxx@mail.ru私は盗まれていません。
>パスワードが変更されたため、firstvdsとfirstvdsアカウントのどちらにもアクセスできません
>その石鹸に添付xxx@mail.ruここからすべての問題が始まりました。 あの石鹸は返せない
>それが最近、あなたのサイトのあるアカウントから別のアカウントにドメインを移し始めた理由です
>アカウント。 秘密の質問とコードワードを知っていたので、9月末にこれを簡単にやった。 そしてまさに
>最近、firstvdsでホスティングを失い、vds64.comで新しいVDSを購入しました。まず、高速です
>それは動作します(サーバーの仕様が優れています)。次に、アクセスできるようにそこに設定しました
>セキュリティは現在、携帯電話からいつでも復元できます。
>本当に必要です。
>移管後のドメイン管理パネルで、最近DNS(またはNS、使用方法がわからない)を中断しました
>こちらが、新しく購入したVDS(ns1.vds64.comおよびns2.vds64.com)です。 そして、攻撃者は再び誘isしています
>ドメインは、彼がアクセスできる古いfirstvdsに再び添付しました。テクニカルサポートの従業員の反応を想像してください。2人のメールボックスが2つの異なるシステム(秘密の回答とコードワード)のクライアントから盗まれたことを徐々に知ります。 すべてを盗んだ 面白いのは、それがまさにそのようなものだったことです。
こんにちは
あなたはまだこのドメインをどれだけ買ったか答えていませんか?
> 2010年10月10日21:20-バブフカミシャは次のように書いています(a):
>そして彼は盗まれ、新しいメールを受け取りました。 しかし、これは、私が自分で作成したという事実のために、Googleサービスのおかげで、私3
>回数はすでに回復し、再びこの石鹸を失いました。 当分の間、私は昨日Googleからそれをインストールしませんでした-プログラム
> PC Tools Spyware Doctor。 私のラップトップとPCでも同じ脅威が見つかりました。
> Trackware.TrackingCookies。 この感染が原因です。次。
こんにちは
購入したドメイン所有者と連絡を取りましたか?
> 2010年10月10日22:15-バブフカミシャは次のように書いています(a):
> 800ドル。
別の手紙:
こんにちは
このドメインの購入プロセスの確認はありますか?
> 10/08/2010 00:10-バブフカミシャは次のように書いています(a):
>連絡先が残っていません。 彼が売っていたとき、彼はオフラインのビジネスに行くと言った、または
>他の何かが自動車修理店を開きます。 彼はもうVKontakteなどにいません。私はしばらくの間、この主題は私の売り手がドメインをもう一度販売しただけの貧しい仲間であると疑っていたと言わなければなりません。 しかし、時間が経つにつれて、疑問は消え去りました。もちろん、同じ子供たちの「社会工学」はすべて私の売り手です。 さらに、情報の一部と「オフラインビジネス」という用語は、私の聞き取りでは非常にまれでしたが、icq経由で購入するときにすでに聞きました。
その後、再販業者は、過去6か月間のホスティングの購入と支払いを確認するために、KiperとFirstVDSの請求書のスクリーンショットを送信することを提案しました。 ドメインが
すべてのルールとすべてのルールに従って移転されたため、再販業者がこれらの明確化に着手することを決めたのは私には奇妙に思えました。 しかし、それはさらに良かった-私はすべての「切り札」を持っていた。 必要なデータを送信しました。
こんにちは
FirstVDSがまだ管理されている場合、FirstVDSのホスティングにどのように支払いましたか?
> 10/08/2010 00:45-バブフカミシャは次のように書いています(a):
>いいえ。 現金で購入しましたが、同時にドメインを更新せずにフルアクセスできました。この手紙の後、私の売り手は姿を消し、彼について何も聞かなくなりました。 時々、私は彼にスパムを装ったメールを送って、転送がうまくいくかどうかを確認しました。 まだ含まれています。
再販業者の技術サポートでこの話について彼らが考えたことを知ることは非常に興味深いでしょう。彼らはおそらく私たちが戦いを持っていることを決定し、ドメインのために戦ったでしょう。
注:販売者は正しかったと思います。Googleアカウントはフィッシングリンクを介して実際に「ハッキング」されました。 メールボックスにアクセスできたので、特定のUrals Bankから手紙を受け取り、そこに「私の新しい詳細」と添付文書が送られてきました。 よく見ると、「添付ファイル」は実際には手紙の本文にあり、添付ファイルとして単純に定型化されていることに気付きました。 ダウンロードリンクをクリックすると、Gmailホームページのコピーが表示されました。 これにより、タイムアウトによってセッションがリセットされたため、再度ログインする必要があるという考えに至ったはずです。 リンクアドレスは非常に長く、「google」という単語が含まれていましたが、もちろん、第2レベルではありませんでした。 おそらく、私の売り手がキャッチしたこれらの手紙の1つ。
私の記事を読んでくれてありがとう。 私はそれがあなたにとって興味深く、役に立つように願っています。
UPD。 この話では、次のことが奇妙に思えました。
1.再販業者は、管理パネル用の長いIPログを保持していません。そうしないと、元の所有者のウクライナ登録が明らかになります。
2.再販業者は、ns-serversの変更のログを保持しません。彼は、彼らがFirstvds.ruを指していることを知りました。 盗難の前に、別のプロバイダーでドメインをホストしましたが。
3.そして最も奇妙なこと:記載された期間の前後で、ドメインは確認済み状態になりました。 これは、誰かがパスポートのレジストラスキャンを送信したことを意味します。 この男はまだ登場していません。
手紙はまだbabuwkamisha@gmail.comに送信されています:VKontakteからのスパム、新しいドメイン名の登録に関する情報。 売り手は私のサイトのコピーを別のドメインに投稿しましたが、robots.txtによると、ミラーの次の更新で彼のサイトが私のサイトのミラーになることを知りません。 彼はHabrを読んでいるかしら?
そして、再登録の欠如について:リスクはサイトの価格にかかっていたが、彼にとっては明らかに過小評価されていた。さらに、私の売り手が正式な所有者ではなく、彼に精通していないことは明らかです。