30 August 2015

R01 + Timeweb, ваши сайты под угрозой

Information Security
Сегодня утром ряд клиентов, поддержку веб-серверов которых я осуществляю, получили письма счастья о смене ДНС серверов:
Домен:

domain: *******.RU
admin-o: *******-GPT
* nserver: ns-*******.awsdns-34.org
* nserver: ns-*******.awsdns-58.com
* nserver: ns-*******.awsdns-12.net
* nserver: ns-*******.awsdns-30.co.uk
state: REGISTERED, DELEGATED
created: 29-11-2011
changed: 30-08-2015
paid-till: 29-11-2015
mnt: TIMEWEB-MNT-GPT
source: R01

заменен на:

domain: *******.RU
admin-o: *******-GPT
* nserver: ns1.hostingnewfree.ru
* nserver: ns2.hostingnewfree.ru
state: REGISTERED, DELEGATED
created: 29-11-2011
changed: 30-08-2015
paid-till: 29-11-2015
mnt: TIMEWEB-MNT-GPT
source: R01


Сверка с whois действительно подтвердила серьезность данного письма, везде фигурировали одинаковые днс, а то, что на данную проблему жаловались несколько клиентов одновременно, заставило попробовать разобраться с проблемой глобально, не занимаясь изучением взлома одного клиента.

Итак, первое письмо пришло около 6 утра по московскому времени, 30 августа.

1) Пробуем на сайте r01.ru зайти в раздел «Вход для клиентов», переход по ссылке радует циклической переадресацией и ошибкой браузера.
2) Звоним в r01.ru, грустный молодой человек сообщает, что о проблеме с разделом они знают, нужно ждать 6-8 часов.
3) Тот-же самый грустный молодой человек сообщает, что о проблеме с доменами зарегистрированными партнером TIMEWEB они также знают, и нужно ждать те-же 6-8 часов, после которых днс вернутся в прежнее состояние.
4) Пишем в чат поддержки тайвеба, получаем не очень ободряющий ответ:
image
5) Сайты начинают резолвится на левые ip адреса и выпадать из поиска яндекса.
6) На 12:00 по мск панель r01.ru заработала, однако попытка изменить днсы выдает сообщение:
Задание для этого домена уже имеется в очереди


7) Один из клиентов уже сообщает о потери 300 тысяч рублей (снижение продаж в одном из интернет-магазинов), а некоторые жалуются на появившиеся баннеры, предлагающие удлинить член на 10 см за 4 дня. Что дальше и кто будет компенсировать это?

Как и в посте habrahabr.ru/post/265699 все веб-кластеры, репликации и прочие вещи оказываются бесполезными, против «ждите 6-8 часов» от регистратора.

8) На 12:30 по мск, whois начинают возвращать правильные днс.

Саппорт таймвеба сообщает о:
Действительно, сегодня утром злоумышленниками была произведена смена NS серверов для некоторых доменных имен.


9) На 13:00 по мск, partner.r01.ru работает в режиме панели Шрёдингера.
Tags:r01.rutimewebtimeweb.ru отзывыr01
Hubs: Information Security
+38
35.5k 42
Comments 49
Top of the last 24 hours