Пользователь
0,0
рейтинг
14 августа 2012 в 08:24

Разработка → RuTracker взломан

В ночь на 14 августа торрент-портал RuTracker.org перестал открываться у большей части пользователей.
Судя по всему, ресурс был взломан хакерами. При заходе на сайт была установлена автоматическая переадресация на внешнюю страницу под заголовком Ita est! («это так» — лат.)

В учетных данных о домене rutracker.org на сервисе Whois появились строчки, набранные латиницей: «всего одному не стяжать человеку», «сокрушилась могучесть твоя», «завещанию внимай и исполни — никакой порнографии, никакой развязной, пошлой, оглупляющей рекламы».

Rutracker.org является наиболее популярным из российских торрент-трекеров. Первоначально ресурс существовал под названием Torrents.ru. В феврале 2010 года делегирование домена Torrents.ru было прекращено из-за уголовного дела по факту незаконного использования объектов авторского права.


По материалам lenta.ru — lenta.ru/news/2012/08/14/ruhacker

Update 1:
Интересненькое выдает whois домена rutracker.org:
Registrant Email:barbarus_egor@ne-skrivai-dohodi-v-pana.me
Admin Name:Net, vsego odnomu ne styazhat cheloveku.
Admin Organization:Sokrushilas moguchest tvoja.
Admin Street1:Zaveschaniju vnimai i ispolni.
Admin Street2:Nikakoi pornografii, nikakoi razvyaznoi, poshloi,
Admin Street3:ogluplyajuschei reklami.

Update 2: (спасибо fst)
Исправляем ситуацию локально:
C:\Windows\System32\Drivers\etc -> hosts

Добавляем строки:
195.82.146.5 ix.rutracker.net
195.82.146.5 ix2.rutracker.net
195.82.146.5 ix3.rutracker.net
195.82.146.5 ix4.rutracker.net
195.82.146.30 wiki.rutracker.org
195.82.146.50 ns.rutracker.org ns1.rutracker.org blog.rutracker.org mail.rutracker.org
195.82.146.52 pm.rutracker.org login.rutracker.org
195.82.146.114 rutracker.org
195.82.146.114 rutracker.net
195.82.146.215 post.rutracker.org
195.82.146.216 static.rutracker.org
195.82.146.215 dl.rutracker.org
195.82.146.120 bt.rutracker.org
195.82.146.121 bt2.rutracker.org
195.82.146.122 bt3.rutracker.org
195.82.146.123 bt4.rutracker.org
195.82.146.124 bt5.rutracker.org

Win + R -> «ipconfig /flushdns» -> Enter

Update 3: (спасибо VasiliyIsaichkin)
IP для static.rutracker.org изменен на 195.82.146.216

Update 4: (спасибо VasiliyIsaichkin)
По результатам исследования post.rutracker.org тоже ошибочен — верный адрес 195.82.146.215

Update 5: (14.08 14:15)
Полет нормальный.
George Tagirov @LuckyReveal
карма
7,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (126)

  • +24
    :(
    • +1
      Я извиняюсь — новость сильно расстроила.
      PS: В данный момент трекер доступен. Все в порядке?
      • 0
        Меня кидает на sites.google.com/site/sicestaeternus/
        Но в данный момент там заглушка «Этот сайт превысил лимит просмотров страниц. Повторите попытку позже. Дополнительные сведения можно получить в cправке по Сайтам Google .».
        • +1
          Уже восстановлено. В смысле заглушка на гугл.сайтс — показывается нормально. :)

          Рутрекер же по прежнему не доступен.
          • 0
            Если взломан, то почему через анонимайзеры открывается? Взломщики решили переадресовывать только пользователей из РФ?
            • 0
              Я не с РФ, меня тоже переадресовывает. :)
            • +7
              Возможно кеш DNS?
            • 0
              У меня британские IP-шники — тоже вижу google sites.
  • +71
    Что-то подсказывает, что взломали не сервера rutracker'a, а регистратора доменного имени.
    • 0
      Да, но до сих пор не устранен взлом. С сервера на площадке хецнера зашел, та же самая картина.
      • 0
        Мне кажется тут не это или не только это при заходе по ip 195.82.146.114, который если верить гуглу принадлежит торрент-трекеру, все равно перебрасывает на «философию».
        • +1
          Все просто. При переходе по ip мы получаем редирект 301:
          HTTP/1.1 301 Moved Permanently
          Server: nginx
          Date: Tue, 14 Aug 2012 04:39:22 GMT
          Content-Type: text/html
          Content-Length: 178
          Connection: keep-alive
          Location: rutracker.org
          X-Frame-Options: SAMEORIGIN
        • 0
          Прописал в hosts, нормально зашёл
          • +4
            Сразу скажу, что fst приводит вон там список из более чем полутора десятков доменных имён третьего уровня, используемых рутрэкером, и соответствующих им IP-адресов.

            По-хорошему, я так думаю, все бы их в hosts прописать.
            • 0
              Спасибо, теперь удалось залогиниться на форум.
              LuckyReveal, может обновить пост?
            • 0
              Такую страничку на самом Рутрекере бы сделать. Чтобы зная хоть один верный айпи, можно было довосстановить все остальные. «Сам себе DNS».
    • –1
      По прямому айпишнику ведёт туда же. Похоже, взломали всё. Думаю, DNS был подправлен уже после взлома сайта и получения доступу к мылу.
      • +3
        Пр прямому ip вам выдается редирект на rutracker.org. А доменное имя rutracker.org резрешается в другой ip.
    • 0
      Подверждаю. Похоже что действительно так, у них какая то несуразица в днс-записях.
  • 0
    ipv6 Google DNS выдает старый ip:
    — Using domain server:
    Name: google-public-dns-a.google.com
    Address: 2001:4860:4860::8888#53
    Aliases:

    rutracker.org has address 195.82.146.114
    rutracker.org mail is handled by 5 mail.rutracker.org.
    • 0
      Еще кэш на amazon aws eu помнит старые :)
  • +1
    По всей видимости был взломан регистратор домена, в случае с RuTracker — это Internet.BS

    Хуже, если домен «увели», что не исключено.
  • 0
    Не понимаю, для чего трогать такой ресурс.
    • +1
      У кого-то руки чешутся.
    • +28
      Ну вот представьте: идете вы домой. Неважно кто вы — тетка 50 лет с трудом волочащая ноги или качок из зала. Вдруг сзади набегают пяток гоблинов и хорошенько вас запинывают — берцами, битами, арматурой. В общем все как полагается. В лучшем случае — до травмпункта, в худшем — до реанимации или морга. Ну кошелек потом вынут с тысячей рублей. Зачем все это? — спросите вы. Да низачем, просто развлекаются люди…
      • +5
        Ну согласитесь, немного не то сравнение. Для того чтобы пинать ногами ума не надо. А чтобы ломануть довольно популярный ресурс, все-таки мозги должны быть. И вот самое интересное, зачем этим, с виду, не глупым людям, ломать ресурс, который никому вреда не приносит (кроме михалкова):
        • +9
          А может их наняли чтобы сломать трекер? И решили обставить как будто хакеры забавляются.
          • 0
            Хреновый взлом получается. Бестолковый.
            Домен восстановят, все вернется на свои места, и об этой фигне забудут.
            • +1
              ну этот взлом типа тролинга, просто для шумихи, или так забавы ради.
        • +21
          Дык 21 век на дворе, выросло новое поколение — интеллектуальных гопников ;)
        • +1
          Ну кто-то любит тренировать мышцы, кто-то мозги, но намерение их использовать не коррелирует с тем, какую часть тела ты тренируешь.
        • 0
          Ну, конечно же, кому-то он вред приносит. Вы так говорите, как будто сайт красного креста взломали. И взломали видимо просто так, потому что могли.
          • 0
            Лично для меня, этот ресурс принес намного больше пользы чем Красный крест ) Да, пираты.
            • +1
              «никому вреда не приносит», никому = ibex? :)
              • +1
                Хорошо, не правильно сопоставил вещи. Хотя почти каждый так делает. Мне, вот, все равно, что кто-то недополучит денег из-за скачанного мной фильма.

                В любом случае, мой посыл был изначально о том, что я не увидел смысла во взломе таких ресурсов. Но правда у каждого своя, может и правда людям пофиг, что делать за $
                • 0
                  Мне, вот, все равно, что кто-то недополучит денег из-за скачанного мной фильма.


                  Ну а кому-то все равно, что вы (и кто-то еще) не скачает себе фильм/игру. Все честно.
  • +42
    К чему эти строчки в whois про порнографию и развязную рекламу, если pornolab по-прежнему работает? :)
    • +11
      Видать потому что его домен угнать не вышло :)
    • +7
      Тсссс!!!
    • +2
      из whois домена:
      "«Registrant FAX Ext.:
      Registrant Email:barbarus_egor@ne-skrivai-dohodi-v-pana.me»"

      Хм… кто такой Барбарус Егор и почему он скрывает доходы в Панаме? =)
      Странно, что никто не заметил этого…
      • +2
        Видимо один из администраторов. Может быть тут даже проблема в ссоре между администраторами самого трекера :) А в Панаме, наверное, потому что Сейшельские Острова (там зарегистрирована Dreamtorrent Corp) так красиво не напишешь.
        • +3
          Нет. Администраторы форума никакого отношения к «железу» не имеют, равно как не имеют доступа к серверам, и уж тем более к администрированию доменов. Максимум что может сделать «взбесившийся» админ форума — испортить базу сообщений иди торрентов, что в общем то легко восстановится из бекапа. Да и случаев таких у нас не было.
          • 0
            Ясно, спасибо за ответ. Ну это просто предположение, мне чем-то напоминает личную ссору. Впрочем, быть может взломщик хотел, что бы так подумали.
      • +1
        Егор, основатель torrents.ru aka rutracker.org. И фамилия у него другая. Это тот самый admin на трекере (:
        А Панама, потому что в whois домена
        Tech City:Panama
  • НЛО прилетело и опубликовало эту надпись здесь
  • +1
    Блог рутрекера открывается по IP 91.211.117.71 (исключая стили и картинки). Но на данный момент там нет никаких комментариев.
  • +1
    Ни у кого нет списка ip: поддомен Рутрекера (например, 195.82.146.114:rutracker.org, x.x.x.x:static.rutracker.org, etc)? Как временное решение очень даже бы пригодилось.
    • 0
      Угу, а то даже залогиниться не получается.
    • 0
      Host static.rutracker.org not found: 3(NXDOMAIN)
      Host login.rutracker.org not found: 3(NXDOMAIN)
      Сложновато будет пройти аутентификацию.
  • +11
    Ждём официальный коммeнтарий от rutracker
    • 0
      Даже не комментарий, а историю что и как произошло, какие меры приняты, где была дыра.
      • НЛО прилетело и опубликовало эту надпись здесь
      • +13
        Или пост на хабре вида «как я взломал internet bs»
      • +2
        Ох как часто дыра кроется в:
        — какой пароль на домен?
        — rutracker123… да, надо поменять, конечно.
  • 0
    Попадаю на рутрекер, украинский IP.
    • +1
      Ваш DNS еще не обновился, IP тут, скорее всего, не при чем.
  • 0
    Про Internet.BS сейчас много возмущений среди их клиентов.
    А это в основном пираты, фармацевты и другие личности с проблемами с законом.
    Изначально Internet.BS позиционировал себя как абузоустойчивый регистратор, но как и другие благополучно сдулся.
    Сейчас они блокируют домены по абузам, но не ставят в холд, а перенаправляют на некие страницы.
    О чем много волнений среди фармацевтов, которые любят проспамиться, т.к. им кажется что у них воруют спам-трафик. :)

    В любом случае ситуация с rutracker может быть аналогичной фармадоменам, т.е. это действия самого регистратора.
    • 0
      А можно ссылочку на какие-нибудь подробности, а то у меня там один нормальный домен завелся пару лет назад и я вот думаю, переносить куда-нибудь или раз нормальный, то пусть лежит. (Про изменение правил и закрытие фарм-доменов я в курсе).
      • 0
        Эти новости с закрытого фармафорума от знакомых фармацевтов.
        Так что со ссылочкой будут проблемы.
        Но думаю при желании можно нагуглить и в открытых источниках.
        • +11
          Давайте все же фарма-спамерами не пачкать имя фармацевтов как профессии.
          • –7
            Профессия настоящих фармацевтов тоже далеко не всегда белая и пушистая.
            И там бывают вещи похуже чем спам.
            В любом случае это интернет-сленг.
            Никого же не волнует когда метром называют мегабайт…
            • +9
              В любом случае ваш «интернет-сленг» не должен засорять нормальный русский язык.
              А то так вы потребуете спамеров называть «почтальонами», потому что они тоже почту доставляют, а изготовителей и распространителей детского порно — «артистами», потому что они людей развлекают.
              • –2
                Не-не-не…
                Ну какие же спамеры почтальоны? Спамеры почту не доставляют, а лишь отправляют. Стало быть адресанты они.
                Да и распостранители детского порно артистами не являются. Артисты там сами дети.

                Так что прошу вас не беспокоиться о русском языке. Для этого есть более подготовленные лица.

                Grammarpolizei gefreiter A.Stahl
    • +3
      но как и другие благополучно сдулся

      Не удивительно, ведь BS.
  • 0
    Попробовал зайти с нескольких компьютеров — кидает на философию.
    • +9
      Пробуете взять количеством?)
      • –7
        Нет. Я по удалёнке. С некоторых из них рутрекер ни разу не посещался.
  • –4
    в кого то есть торренти в загрузках? что с ними?
    • 0
      У меня расдачи идут, про загрузки ничего сказать не могу
      • +4
        ну если раздачи идут значит у кого то идут и загрузки
  • +3
    ВНИМАНИЕ! В upd2 неверен static.rutracker.org!
    Правильный ip — static.rutracker.org. 195.82.146.216
    • 0
      Поправил. Спасибо.
    • 0
      Мне возвращает 301 и редиректит на static.torrents.ru.
      • 0
        Хых он какой-то странный. Можно попробовать добавить static.torrents.ru 195.82.146.216.
        Хотя у меня все работает… А у когото на 116 работало.
      • 0
        А дошло! Так на него не надо заходить.
        Я имел ввиду исправление IP адреса (уже поправлено) для рецепта в Update 2 поста.
    • +1
      Еще исправление — у post.rutracker.org правильный ip: 195.82.146.215
      Без этого нельзя постить.
  • +21
    Ну, главное что порнолаб работает :)
  • 0
    Через локальную проксю (squid) rutracker.org открывается и юзается без проблем. Без прокси — гуглосайт ((
    • 0
      А, нет, всё работает и так и эдак
      Извините, был напуган ))
      • +2
        Потомучто кэш днс был. Угнали именно домен…
        • 0
          Все же домен?
          • +2
            Вариантов других нет. По IP адресам все ок. В whois домена — всякий трэш, вывод один — угнан домен
            • 0
              Регисторатор.
  • +12
    >«завещанию внимай и исполни — никакой порнографии, никакой развязной, пошлой, оглупляющей рекламы»

    моя хотеть найти и убить этот человека.
  • –8
    Администрация поднимает сайт. Ждём.
    • +4
      Сайт не надо поднимать — он и не падал. Угнан домен, так что она его только возвращать может.
  • 0
    Чувак молодец, правда интересно как он это сделал, может тупо привязал админа к стулу и попросил дать пароль? ))

    Но имя его тем не менее будет проклято всем интернетом.
    • +6
      И чем же он (она? они?) молодец?
    • +8
      Вы всё еще верите в самостоятельных «интернет-гопников»? :) Очевидно, кто-то очень хотел узнать реального владельца ресурса и создал ситуацию где для процедуры «восстановления» ему придётся «засветиться».
  • +2
    Похоже, пора задуматься о локальном DNS-кеше. Тем более, что не только хакеры, но в последнее время и провайдеры повадились мутить с DNSами, блокируя неугодные сайты.
  • +6
    Тут попросили передать Знание, тайно передаваемое биндоводами из поколения в поколение:
    zone "rutracker.org" {
        type forward;
        forward only;
        forwarders {
            195.82.146.50;
            193.107.208.82;
            91.211.117.71;
            195.82.147.50;
        };
    };
    

    • 0
      Если что, мопед не мой, заводить не пробовал.
    • 0
      ns-ы правильные вроде :) вроде должно работать
  • +3
    Все, инфу о DNS исправили — nic.ru/whois/?query=rutracker.org
    • 0
      Значит совсем скоро все заработает как обычно
      • +2
        хороший повод написать Update 4 с текстом: «уже ничего менять не надо, скоро всё заработает по-прежнему»
  • +2
    «завещанию внимай и исполни — никакой порнографии, никакой развязной, пошлой, оглупляющей рекламы»

    А вот тут они облажались. Вся порнография спокойненько лежит на порнолабе :)
  • +1
    А вот что пишут на самом рутрекере в новостях:
    «По техническим причинам, связанными со взломом аккаунта регистратора доменов, rutracker.org временно недоступен. По всем вопросам обращайтесь rutracker.not.work@gmail.com»
    • +7
      Rutracker. Not. Work. Understand :)
  • 0
    Все отлично работает, пиры раздаются, торренты скачиваются, все замечательно.
    Конечно же, до внешних изменений DNS мне нет дела, потому и работает.
    Единственное, так у меня запись 91.211.117.71 blog.rutracker.org, что отличается от записи в посте.
    Я не знаю что корректней.
  • –11
    Фух, главное, что pornolab работает. *смахиваю пот со лба*
    • +27
      пот?!
      • НЛО прилетело и опубликовало эту надпись здесь
  • +15
    Всем привет, действительно похоже проблема с регистратором домена, сейчас пытаемся разобраться в ситуации. На всякий случай зарегистрировали rutracker.cc.
    • +1
      не резолвится в DNS :(
      • +1
        Domain Name: RUTRACKER.CC
        Registrar: INTERNET.BS CORP.
        Name Server: No nameserver
        • 0
          Зегалдис, можно твой коммент по поводу ситуации с регистратором услышать? Мнение другого Регистратора интересно.
          Ну или сам знаешь-где, если что-то секретное.
    • +1
      Выше по тексту собранные IP адреса и хосты подтверждаете?
  • +3
    Заработало обратно.
  • 0
    я то думаю что за чушь в хроме с утра открылась и кто закрыл мои вкладки)
  • 0
    В заголовке ответа сервера есть странная строка:
    X-Abuse: URL redirection provided by freedns.afraid.org — please report any misuse of this service
    • 0
      Могу ошибаться, но freedns.afraid.org на все домены, которые через них редиректятся, вешает.
  • –10
    а и хорошо, что взломан. Пусть не расслабляются.
  • +2
    Добавьте, что нужно после внесения изменений в hosts выполнить «ipconfig /flushdns».
    • 0
      Добавил.

      У меня, кстати, и без этого заработало :)
      • 0
        Спасибо. Видимо, зависит от стечения обстоятельств. У меня на 2х семерках без очистки кеша система не подхватывала изменения. Не знаю как в XP.
        • –1
          У меня Win 8 =]
  • 0
    Так всё таки взломан, или всё же нет?
    Пытаюсь вот зайти — не вышло, не «узнал» пароль. Сбросил пароль, но и по временному не логиниться.
    втф
  • 0
    Хорошо, что на google бросало, а если бы по DNS мы попадали на фишинговую страничку?
    И если бы введенный пароль попадал прямиком к злоумышленнику (-це) (-ам)?
    • +1
      Ну и кому нужен ваш пароль от рутрекера? Даже назаляву не покачаешь, рейтинг то отменили)
  • –10
    Одним говносайтом меньше
    • +1
      Копираст?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.