Эмми Нейл
Мое обращение им второе (писал два обращения, первое они удалили почему то...)
===================================
Доброе утро!
Это дополнение к заявке #1598528227111609.
В общем ночью я провел анализ данного сайта master-diy.ru который полностью скопировал данные с моего домена.
Как выяснилось, у владельца данного сайта есть полный доступ к моему серверу что видно в приложенном видео которое я снял с экрана.
Как я проверял.
Так как я выяснил что данный сайт хостится тоже у Вас как и я и что он на том же ip что и мой домен, я предположил что он не парсит данные с моего сайта а тупо есть подключение к базе, и как позже выяснилось, это действительно так.
Я зашел в ISP Manager отключил временно сервер Mysql и сразу упал мой сайт и сайт вредителя.
Но помимо того что есть доступ к подключение к базе у данного сайта получается что он физически прибинден к тому же серверу что и мой домен.
Это понятно из того что когда я отключил сервер Mysql, у вредителя не просто пропало соединение с сервером базы, а также был остановлен сервер Mysql.
Т.е. выключив я у себя сервер MYsql также это подействовало и на сайт вредителя.
Вопрос, как такое вышло? И как так получилось что мой домен и сайт вредителя как то вместе работают и общий доступ к серверным ресурсам.
Так же у данного сайта полный доступ ко всем файлам сайта. Потому соответственно и ко всем конфигурационным файлам.
Так же теперь засвечены все данные учетных записей в базе, благо их всего немного, потому как сайт только настраивался и был почти готов к запуску.
Эта проблема возникла сразу же как я переехал на новый облачный сервер к Вам с панелью ISP Manager 5. Переезжал только по причине того чтобы нормально настроить почту.
До этого я у Вас хостился на облачном сервере без панели управления ISP Manager и было все хорошо.
Так же во вложении прилагаю вместе с видео все логи сервера, nginx, fail2ban и др.
Там видно что к вашему серверу было огромное количество попыток подобрать данные к учеткам regruhosting.ru.
Так же по логам видно что в логи nginx пишутся обращения по ссылкам к этому домену вредителя, что еще раз доказывает что каким то образом ресурсы сервера полностью общие и данный владелец этого сайта, по сути использовал мощности моего сервера, что также отобразилось на графике потребления оперативной памяти. Это было заметно в ISP Manager.
Данный облачный сервер я удалил у себя в личном кабинете.
И да, у меня очень сильно попорчено настроение.
Ведь с моей стороны у меня все было настроено для безопасного доступа к серверу и все подключения были защищены.
Даже доступ к базе был закрыт из вне, и был только локальный доступ на сервере.
А удаленно я получал доступ к базе через SSH тунель по ключу, не по паролю.
Планирую переезжать на обычный VPS с фиксированной оплатой. Я не знаю, я очень расстроен. Я даже боюсь снова хоститься у Вас на этих серверах...
Я потратил целые сутки чтобы выяснить все это, и сервер пришлось полностью отключить, чтобы у вредителя не было доступа и чтобы страницы не показывались в поиске.
Теперь поисковики все проиндексированные мои страницы с уникальным контентом, просто уйдут фиг знает куда, и не факт что снова поднимутся.
Потому как контент получается одинаковый на двух доменах был...
Объясните, как такое могло произойти за 2 дня? Я только развернул у Вас сайт и сразу все стырыли.
Причем домен у меня новый и ни где не засвечен, просто не понимаю как могли получить доступ так ко всему серверу... Или что то у Вас не правильно настроено что два домена с общими ресурсами сервера...
Видео не удалось прикрепить, поэтому вот ссылка на видео.
Андрей, знаешь что? У меня на днях тоже была проблема с сайтом, сайт хостится у РЕГ.РУ.
Что то мне подсказывает, что хостер тут очень даже причем, не может блать в течении недели появляться столько ситуаций с угоном домена или взломом как в моем случае. Просто я не любитель писанины писать публично, но тут подписан на этот сайт и мне пришла рассылка про новостей и про твою проблему узнал.
У меня же была попытка угона сайта несколько дней назад.
Почему цука нет ни одной новости угона сайта с гудедди например? Не кажется странным?
РЕГ.РУ - Вы или залатайте дыры у себя или найдите крысу у Вас в штате сотрудников, которая как то способствует взлому сайтом.
Явно проблема у Вас, вот прям все на это указывает. Надеюсь Вы читаете этот комментарий.
А теперь, Андрей, моя история попытки угона.
Купил недавно домен, и пару дней назад переехал переехал с одного облачного сервера у регру на другой чтобы работу почты настроить гибче.
Все сделал, настроил, закинул новый контент на сайт, гугловский паук уже проиндексировал некоторые страницы и они были в поиске. Почему так быстро, я кинул гуглу карту сайта - sitemap.xml.
Но суть не в этом. В том что я для проверки вбиваю в поиске название своего сайта + ключевое слово со статьи и гугл выдает мне мой сайт и смотрю дакие же результаты для другого сайта - http://master-diy.ru/.
Я вижу что у него старицы один в один как у меня. Захожу к нему на йсайт, гугл ругается, типа сайт может быть опасным, я захожу через инкогнито и вижу что сайт все один в один как у меня, контент, оформление, вообще всё!
Даже все формы авторизации и контактов.
Первая мысль была ломанули мой сервер, как то получили доступ и стырили код CMS и базы.
Потом решил проверить что если они просто парсят.
Думаю дай в сатье поменяю что-нибудь и сохраню.
Меняю чуть текст в статье и вижу на поддельном сайте моментально подхватываются данные те что я внес в статью.
Вывод, сайт этот напрямую работает с моей базуой думаю. Пипец, жесть...
Как позже выяснилось, чтобы не томить Вас, оказалось админ этого сайта хостился на том же сервере что и я, тоже у регру и на том же IP сидел.
Как мне ответили на мое обращение регру, этот чувак указал "просто" IP моего сайта у себя. И все запросы на его домен проксировались типа на мой домен.
Хочу сразу отметить, что я в регру много обращений создавал в течении последних недель, и они всегда отвечали на все в течении нескольких минут или часов.
Все мои обращения связаны с техническими моментами и настройками сервера. И они всегда помогали, за что огромный плюс.
Но цука когда я создал обращение связанное со взломом моего сервера и сайта которые у них, знаете через сколько ответили? Через 2 дня!!!
Как Вы думаете - это случайность? А я думаю это еще один повод задуматься над тем, что регру как то причастен к этим всем взломам, не хочу наговаривать, не вся компания в целом, а есть ощущение, что у них чувак, крыса подпольная работает и втихую проворачивает махинации с доменами.
Ну не может новый сервер и домен быть взломан за 2 дня ни где не светившиьс вообще.
Все пароли у меня мега сложные, не подобрать, если только на супер компьютере через несколько лет.
По ссылкам в почте не хожу.
На этом фишинговом сайте не пытался входить в свою админку, понимал что могут перехватить данные авторизации.
А теперь прилагаю мое обращение в тех. поддержку в регру, мне скрывать нечего, пусть все знаю, и надеюсь регру зашевелит булками.
Слишком уж Вы товарищи хостеры облажались, уже все про Вас знаю, больше ни кто так не косячил последнее время, только Вы...
Андрей, советую обратиться к https://www.group-ib.ru/cert.html
Эти ребята после моего обращения сразу разделегировали на следующие сутки домен вредителя.