Немного истории
oldmerin существует с 2000 года, и сначала был на бесплатном хостинге. В 2005 году я зарегистрировал домен 2 уровня у зарубежного регистратора joker.com и переехал на выделенный сервер.
Форум знают практически все владельцы подержанных Мерседесов постсоветсткого пространства. С помощью вебархива можно убедиться что с 2005 года я являюсь администратором сайта и соответственно владельцем домена. Зарегистрированных пользователей на форуме 75000. Сообщений - более миллиона. Многих активных участников форума знаю лично. Накоплена огромная база знаний по ремонту автомобилей.
Угон
12 марта 2020 года я обнаруживаю, что домена нет в панели регистратора, смотрю NS, вижу что он уже на reg.ru. Пишу регистратору, получаю ответ что перенос сделан от моего имени. Обнаруживаю в логах почты удаленные сообщения от регистратора. Пишу в REG.ru. Получаю ответ что они тоже не причем.
Через пару дней вижу на своем домене (точнее уже не своем) статическую копию всех страниц с крупными блоками адсенса. Причем "хакер" даже не удосужился убрать мои телефоны и фото. Форум не работает, но форма ввода пароля в порядке, и по этому поводу пишу в reg.ru и сообщаю что на сайте возможен фишинг, то есть кража регистрационных данных моих пользователей.
Они инициируют проверку идентификационных данных, которую новый владелец успешно проходит в течение 14 дней. Параллельно заявляю в полицию, через какое-то время меня вызывают в отдел К. Даю им всю информацию которая у меня есть, а есть немного больше чем я здесь пишу. Со слов следователя он запрашивает данные "хакера" у reg.ru, данные о его входах в яндекс почту, и т.п. и через какое-то время получаю уведомление что дело передано в районный отдел полиции.
Сразу регистрирую новый домен в зоне club, и переношу на него сайт и форум. Делаю рассылку по базе активных пользователей. К сожалению всю аудиторию известить не удалось, у многих нерабочие емейлы.
Через какое-то время приходит письмо от гугл-вебмастера, что некто забрал сайт в свою панель и его email [email protected]
Из полиции пока не получил ни отказа в возбуждении уголовного дела, ни какого-то результата.
Reg.ru рекомендует подать жалобу в ICANN. Подаю жалобу. Выясняется что подставил своего первого регистратора, они же ничего не нарушили, и им приходится собирать пакет документов для доказывания что они не верблюды. Пишу в ICANN что у меня нет к ним претензий. ICANN отвечает что они тоже ничем не могут мне помочь с возвратом домена.
Почему пишу здесь
Меня нашел товарищ по несчастью, который пострадал от этого же "хакера". Оказалось что идентификатор издателя адсенса совпадает на моем и его украденных доменах. Вот его статья:
Артем говорит что хакер регистрируется в reg.ru на фейковые документы, и у меня соответственно возникает вопрос - как он прошел идентификацию? Может быть регистратор недостаточно пристрастно проводит эту процедуру?
Астрологи объявили год рег.ру на vc...
«Может быть регистратор недостаточно пристрастно проводит эту процедуру?»
Да, давайте заставим всех кровь сдавать, потому что используем дату рождения в качестве пароля от email. Итак уже на малейший чих надо скалиться в камеру с паспортом в руке.
Может лучше использовать двухфакторную идентификацию?
Комментарий недоступен
Мой папа сидит то в гараже, то у вас на сайте. Крепитесь!
PS: В последнем предложении вы имели ввиду беспристрастно.
Почта [email protected] указана у такого домена https://webryt.com/info/chudo-udo.com
Совершенно верно. И этот домен тоже был украден.
Лето прошло, а движухи с угонами набирают новые обороты. Мне вот интересно, если Амазон чисто в теории кто-то угнал. То также будет хуйня, или сразу вернут. Ответ конечно ясен.
Кто в курсе. При наличии торговой марки, компании итд, домен также легко украсть, с минимум последствий?
Амазон не будет сопли жевать с "правилами ICANN" и полицией, а подаст на регистратора иск в суд общей юрисдикции за "причинение имущественного ущерба путем отказа вернуть управление доменом". Вернет себе контроль над доменом путем судебного приказа моментально, а потом в ходе процесса обанкротит регистратора совсем и заберет его себе со всеми потрохами.
А полиция и правила ICANN - это для бедных.
Если в REG.RU запрос пришел "от вашего имени" то пусть передает управление доменом вам. А если отказываются - они содействуют преступнику.
Написано, что домен был у зарубежного регистратора joker
Вот дела, REG.RU опять в центре событий)
Домен угнали у другого регистратора.
Мы в свою очередь делаем всё, чтобы скорее вернуть его)
а в каком почтовом сервисе у Вас был аккаунт, к которому домен привязан?Может уязвимость у почтового сервиса, раз в последнее время столько случаев
Ну не может быть уязвимостей в почтовых сервисах. Их что, пилит один junior в вечернее время после универа по-вашему?
Может быть только уязвимость в голове и социальная инженерия.
Задавали вопрос про регистрацию в рег.ру?
Они как всегда не верблюды, не черепашки и вообще не существует их для решения моментов, когда они кого-то наёбывают. Либо пусть следят за своей работой, либо пусть отвечают за все мошеннические действия. Пидорасы.
В данном случае REG.RU, как мне представляется, совсем не при делах. Домен угнали у забугорного регистратора - значит решать вопрос должен этот регистратор возможно вместе с иканом.
Как может быть не при делах оператор ПД если угнали ПД? Поясните?
Нельзя просто владельцу принять решение и запретить перерегистрации? Если явно развиваешь проект не первый год, то решение логично. Операторам надо к этому идти. А для капиталоемких доменов это однозначно и сразу.
Есть же регистрация торговой марки или бренда. Если владеет боендом, то может любые домены вернуть в секунду. Роспатент же ...
По поводу взлома почты. Пароль был уникальный, которого нет больше нигде, но двухфакторная не была включена.
А где был ящик?
А как именно произошёл угон?
У вас взломали почту (если да, то как?), восстановили на неё пароль к Джокеру, и там получили код на перенос домена?
Самое банальное: где-то произошел слив базы, а в базе пароли хранились в открытом виде. Ну а дальше просто взяли почту и пароль, и вошли в почту (разные пароли к сервисам придумывать - это же для лохов).
Есть еще вариант, что фишинг. Но я не думаю. Если человек, который делает сайты, может повестись на фишинг - это приговор.
Как взломали не знаю, помню что прошлым летом появилось сообщение об утечке из яндекса, но я как-то не напрягся.
Пошёл я пароли менять, ну его......
Андрей, знаешь что? У меня на днях тоже была проблема с сайтом, сайт хостится у РЕГ.РУ.
Что то мне подсказывает, что хостер тут очень даже причем, не может блать в течении недели появляться столько ситуаций с угоном домена или взломом как в моем случае. Просто я не любитель писанины писать публично, но тут подписан на этот сайт и мне пришла рассылка про новостей и про твою проблему узнал.
У меня же была попытка угона сайта несколько дней назад.
Почему цука нет ни одной новости угона сайта с гудедди например? Не кажется странным?
РЕГ.РУ - Вы или залатайте дыры у себя или найдите крысу у Вас в штате сотрудников, которая как то способствует взлому сайтом.
Явно проблема у Вас, вот прям все на это указывает. Надеюсь Вы читаете этот комментарий.
А теперь, Андрей, моя история попытки угона.
Купил недавно домен, и пару дней назад переехал переехал с одного облачного сервера у регру на другой чтобы работу почты настроить гибче.
Все сделал, настроил, закинул новый контент на сайт, гугловский паук уже проиндексировал некоторые страницы и они были в поиске. Почему так быстро, я кинул гуглу карту сайта - sitemap.xml.
Но суть не в этом. В том что я для проверки вбиваю в поиске название своего сайта + ключевое слово со статьи и гугл выдает мне мой сайт и смотрю дакие же результаты для другого сайта - http://master-diy.ru/.
Я вижу что у него старицы один в один как у меня. Захожу к нему на йсайт, гугл ругается, типа сайт может быть опасным, я захожу через инкогнито и вижу что сайт все один в один как у меня, контент, оформление, вообще всё!
Даже все формы авторизации и контактов.
Первая мысль была ломанули мой сервер, как то получили доступ и стырили код CMS и базы.
Потом решил проверить что если они просто парсят.
Думаю дай в сатье поменяю что-нибудь и сохраню.
Меняю чуть текст в статье и вижу на поддельном сайте моментально подхватываются данные те что я внес в статью.
Вывод, сайт этот напрямую работает с моей базуой думаю. Пипец, жесть...
Как позже выяснилось, чтобы не томить Вас, оказалось админ этого сайта хостился на том же сервере что и я, тоже у регру и на том же IP сидел.
Как мне ответили на мое обращение регру, этот чувак указал "просто" IP моего сайта у себя. И все запросы на его домен проксировались типа на мой домен.
Хочу сразу отметить, что я в регру много обращений создавал в течении последних недель, и они всегда отвечали на все в течении нескольких минут или часов.
Все мои обращения связаны с техническими моментами и настройками сервера. И они всегда помогали, за что огромный плюс.
Но цука когда я создал обращение связанное со взломом моего сервера и сайта которые у них, знаете через сколько ответили? Через 2 дня!!!
Как Вы думаете - это случайность? А я думаю это еще один повод задуматься над тем, что регру как то причастен к этим всем взломам, не хочу наговаривать, не вся компания в целом, а есть ощущение, что у них чувак, крыса подпольная работает и втихую проворачивает махинации с доменами.
Ну не может новый сервер и домен быть взломан за 2 дня ни где не светившиьс вообще.
Все пароли у меня мега сложные, не подобрать, если только на супер компьютере через несколько лет.
По ссылкам в почте не хожу.
На этом фишинговом сайте не пытался входить в свою админку, понимал что могут перехватить данные авторизации.
А теперь прилагаю мое обращение в тех. поддержку в регру, мне скрывать нечего, пусть все знаю, и надеюсь регру зашевелит булками.
Слишком уж Вы товарищи хостеры облажались, уже все про Вас знаю, больше ни кто так не косячил последнее время, только Вы...
Привет всем.
В соседней ветке мы рассказали о завершённом расследовании по похожему инциденту и вернули домен владельцу, который стал жертвой угона у другого регистратора.
Здесь наше расследование ещё процессе и мы ожидаем от автора поста подтверждения о движении дела в МВД.
Вы же оператор ПД. На лицо явное нарушение закона о ПД и в этом случае не имеет разницы кто там регистратором был, вы должны действовать по заявлению субъекта ПД (персональных данных) а не ждать погоды с моря? Возникает вопрос (например у РКН)как вообще проходит проверка раз её кто угодно может пройти.
Сегодня предоставил в REG.ru копию отказа в возбуждении уголовного дела. Конечно работа нашей полиции вместе с отделом К вызывает только недоумение и удивление. На вопрос "почему вы не сообщили об отказе по почте?" ответили что "у нас не было вашего адреса", хотя в отказе который я сегодня получил адрес указан. За отказом ходил более месяца, два раза отпрашивался с работы, футболили то к участковому, то обратно в отдел полиции, то ждал пока участковый выйдет из отпуска. Этими делами (по доменам и взломам) они я так понял не занимаются вообще.
ну по запросу в гугле вы скоро таки вытесните уже неактуальный сайт из топ-1
Ну в Яндексе есть функция перезд домена, так что в Яндексе переезд без проблем происходит с сохранением всего.
Думаю это будет не скоро. ИКС отличается в несколько раз. Клуб за несколько месяцев набрал только 110.
Так так! Нужно детективное расследование проводить! 🕵️
Уже давно понял что в РФ этот вопрос в глубокой заднице находится 🤷🏻♂️
Не проработано ничего — от слова вообще
Поэтому было принято решение уйти в поркбан и установить там двойную верификацию (ну и привязка соответсвенно документов и активация профиля полная)
Защищать реально имущество порой сложно , что уж говорить о виртуальных вещах 🤷🏻♂️
Рег.ру - грязная вонючая помойка.
Помните как они Бегет опрокинули пару лет назад? Такому бизнеса нет будущего и места на рынке.
Там что хост что регистратор дно. На домены сильно цены завышены.
Мое обращение им второе (писал два обращения, первое они удалили почему то...)
===================================
Доброе утро!
Это дополнение к заявке #1598528227111609.
В общем ночью я провел анализ данного сайта master-diy.ru который полностью скопировал данные с моего домена.
Как выяснилось, у владельца данного сайта есть полный доступ к моему серверу что видно в приложенном видео которое я снял с экрана.
Как я проверял.
Так как я выяснил что данный сайт хостится тоже у Вас как и я и что он на том же ip что и мой домен, я предположил что он не парсит данные с моего сайта а тупо есть подключение к базе, и как позже выяснилось, это действительно так.
Я зашел в ISP Manager отключил временно сервер Mysql и сразу упал мой сайт и сайт вредителя.
Но помимо того что есть доступ к подключение к базе у данного сайта получается что он физически прибинден к тому же серверу что и мой домен.
Это понятно из того что когда я отключил сервер Mysql, у вредителя не просто пропало соединение с сервером базы, а также был остановлен сервер Mysql.
Т.е. выключив я у себя сервер MYsql также это подействовало и на сайт вредителя.
Вопрос, как такое вышло? И как так получилось что мой домен и сайт вредителя как то вместе работают и общий доступ к серверным ресурсам.
Так же у данного сайта полный доступ ко всем файлам сайта. Потому соответственно и ко всем конфигурационным файлам.
Так же теперь засвечены все данные учетных записей в базе, благо их всего немного, потому как сайт только настраивался и был почти готов к запуску.
Эта проблема возникла сразу же как я переехал на новый облачный сервер к Вам с панелью ISP Manager 5. Переезжал только по причине того чтобы нормально настроить почту.
До этого я у Вас хостился на облачном сервере без панели управления ISP Manager и было все хорошо.
Так же во вложении прилагаю вместе с видео все логи сервера, nginx, fail2ban и др.
Там видно что к вашему серверу было огромное количество попыток подобрать данные к учеткам regruhosting.ru.
Так же по логам видно что в логи nginx пишутся обращения по ссылкам к этому домену вредителя, что еще раз доказывает что каким то образом ресурсы сервера полностью общие и данный владелец этого сайта, по сути использовал мощности моего сервера, что также отобразилось на графике потребления оперативной памяти. Это было заметно в ISP Manager.
Данный облачный сервер я удалил у себя в личном кабинете.
И да, у меня очень сильно попорчено настроение.
Ведь с моей стороны у меня все было настроено для безопасного доступа к серверу и все подключения были защищены.
Даже доступ к базе был закрыт из вне, и был только локальный доступ на сервере.
А удаленно я получал доступ к базе через SSH тунель по ключу, не по паролю.
Планирую переезжать на обычный VPS с фиксированной оплатой. Я не знаю, я очень расстроен. Я даже боюсь снова хоститься у Вас на этих серверах...
Я потратил целые сутки чтобы выяснить все это, и сервер пришлось полностью отключить, чтобы у вредителя не было доступа и чтобы страницы не показывались в поиске.
Теперь поисковики все проиндексированные мои страницы с уникальным контентом, просто уйдут фиг знает куда, и не факт что снова поднимутся.
Потому как контент получается одинаковый на двух доменах был...
Объясните, как такое могло произойти за 2 дня? Я только развернул у Вас сайт и сразу все стырыли.
Причем домен у меня новый и ни где не засвечен, просто не понимаю как могли получить доступ так ко всему серверу... Или что то у Вас не правильно настроено что два домена с общими ресурсами сервера...
Видео не удалось прикрепить, поэтому вот ссылка на видео.
Андрей, советую обратиться к https://www.group-ib.ru/cert.html
Эти ребята после моего обращения сразу разделегировали на следующие сутки домен вредителя.
Они занимаются только национальными доменами.
Надо регать только у ICANN - новских регистраторов, писал тут
Написал в поддержку REG-ru. Ответа ждал две недели. После обращения в чат и нескольких сообщений типа "Когда же наконец вы мне ответите" REG-ru ответил что раз я не признан потерпевшим, даже если мошенник не подтвердит свою личность вернуть домен они мне не смогут. Задал в ответ пару вопросов, ответа жду уже неделю, пока тишина.