私たちはセンターのパートナーであり、クライアントのドメインが「盗まれ」ました。ここに、この攻撃に関する最初の「稲妻」がありました
habrahabr.ru/blogs/infosecurity/95705センターのカント-DNSを変更するときに、通知を受信しませんでした。
センターが良かった-パートナーの変更を一時的にブロックしました。
ハッカーはアクセスパスワードとnsサーバーを変更しました。
しかし! 彼はそこで止まりませんでした。 注意! 悪はcで厄介です。
NSサーバーとして、ハッカーはns.imyasamogodomena.ruと同じns2を登録しました。スペースの後に、彼は透過プロキシサーバーのIPを登録しました62.122.75.80
つまり 顔に変装の最初のレベル。
模倣の次の面-指定されたアドレスのサーバーは透過的に古いIPアドレスからコンテンツを取得しました(方法はわかりません)。
これがいつまで続くかはわかりませんが、ハッカーサーバーは失敗し始め、負荷に耐えなくなりました。
サイトのブレーキとOutlookがメールを処理することを拒否したため、最初にクライアント側で、次にオフィスでパニックが発生しました。
神秘主義の戸惑いと感覚、あなたは知っているでしょう)簡単なグーグルIPアドレスは、マスドメインハッキングに関するインターネット上の記事につながりました(ありがとう、%ユーザー名%!)。
その後、彼らは(診断後)迅速に行動しました。
したがって、アクションプランは、あなたがレジストラ(nic.ru)のパートナーである場合:
パートナーアカウントから、ドメイン管理者の連絡先アドレスを現在のアドレスに変更し、パスワードの回復を開始した後、変更します。
ここでは、メールを変更した瞬間からハッカーがこれに関する通知を受け取るため、できる限り迅速に行動する必要があります。 彼らは何千ものドメインを奪い取ったので、すぐに応答する時間がないでしょう。
すでに
THENはDNSサーバーを変更しました。 一貫性を維持し、迅速に行動することが重要です。
あなたがドメインの所有者であり、パートナーがいない場合は、レジストラに公式の手紙を送ってください。可能であれば、パスポートをお持ちください。
詳細については、
www.nic.ru / dns / service / faq.html#commonをご覧ください(中央にいる場合)。
センターの従業員自身が、アカウントの下からのパスワードの変更を禁止することを推奨しています(これは、管理パネルのチェックマークによって行われます)。
すべてのホスティングオーナー、および空軍に多数のクライアントがいるリストに対して、顕微鏡でIPアドレスとして識別されるドメインをpingします。家庭的なホステスのメモに。 注意! サイトがプロキシを通過したときにハッカーがどのような情報を記録したかは不明であるため、サイト、メール、ftp、データベースのコンテンツのすべてのアクセスパスワードを変更する必要があります。
PS他のレジストラmtw.ruで何をすべきかわかりません。パスワードや承認なしで電話で直接ns-serverを変更します。同意します。他のレジストラと同じように投稿してください-攻撃を撃退し、成功したストーリーを共有してください。ポジティブに関する投稿を終了します。悪からドメインを取得することができました。