Пользователь
0,0
рейтинг
30 августа 2015 в 12:43

Разработка → R01 + Timeweb, ваши сайты под угрозой

Сегодня утром ряд клиентов, поддержку веб-серверов которых я осуществляю, получили письма счастья о смене ДНС серверов:
Домен:

domain: *******.RU
admin-o: *******-GPT
* nserver: ns-*******.awsdns-34.org
* nserver: ns-*******.awsdns-58.com
* nserver: ns-*******.awsdns-12.net
* nserver: ns-*******.awsdns-30.co.uk
state: REGISTERED, DELEGATED
created: 29-11-2011
changed: 30-08-2015
paid-till: 29-11-2015
mnt: TIMEWEB-MNT-GPT
source: R01

заменен на:

domain: *******.RU
admin-o: *******-GPT
* nserver: ns1.hostingnewfree.ru
* nserver: ns2.hostingnewfree.ru
state: REGISTERED, DELEGATED
created: 29-11-2011
changed: 30-08-2015
paid-till: 29-11-2015
mnt: TIMEWEB-MNT-GPT
source: R01


Сверка с whois действительно подтвердила серьезность данного письма, везде фигурировали одинаковые днс, а то, что на данную проблему жаловались несколько клиентов одновременно, заставило попробовать разобраться с проблемой глобально, не занимаясь изучением взлома одного клиента.

Итак, первое письмо пришло около 6 утра по московскому времени, 30 августа.

1) Пробуем на сайте r01.ru зайти в раздел «Вход для клиентов», переход по ссылке радует циклической переадресацией и ошибкой браузера.
2) Звоним в r01.ru, грустный молодой человек сообщает, что о проблеме с разделом они знают, нужно ждать 6-8 часов.
3) Тот-же самый грустный молодой человек сообщает, что о проблеме с доменами зарегистрированными партнером TIMEWEB они также знают, и нужно ждать те-же 6-8 часов, после которых днс вернутся в прежнее состояние.
4) Пишем в чат поддержки тайвеба, получаем не очень ободряющий ответ:
image
5) Сайты начинают резолвится на левые ip адреса и выпадать из поиска яндекса.
6) На 12:00 по мск панель r01.ru заработала, однако попытка изменить днсы выдает сообщение:
Задание для этого домена уже имеется в очереди


7) Один из клиентов уже сообщает о потери 300 тысяч рублей (снижение продаж в одном из интернет-магазинов), а некоторые жалуются на появившиеся баннеры, предлагающие удлинить член на 10 см за 4 дня. Что дальше и кто будет компенсировать это?

Как и в посте habrahabr.ru/post/265699 все веб-кластеры, репликации и прочие вещи оказываются бесполезными, против «ждите 6-8 часов» от регистратора.

8) На 12:30 по мск, whois начинают возвращать правильные днс.

Саппорт таймвеба сообщает о:
Действительно, сегодня утром злоумышленниками была произведена смена NS серверов для некоторых доменных имен.


9) На 13:00 по мск, partner.r01.ru работает в режиме панели Шрёдингера.
@alfa
карма
87,7
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (49)

  • +3
    Блин, это такая засада(((( Я тоже получил несколько таких «писем счастья». С учетом того, что NS-сервера сменились для доменов, для которых были указаны свои сервера на стороне самого r01, и что «порадовали» клиентов только таймвеба (судя из заметки), то мне видится так, что у таймвеба увели доступы к апи регистратора или типа того… Печаль-досада…
  • +2
    Угу. Порнуха на моем домене вылезло тоже. Капец просто
  • +1
    Фуух, я думал вирусняки. Порадовали писующие девушки и банер про увеличение члена вместо каталога свадебных платьев на сайте. Спасибо за статью, успокоили, не одни мы такие значит :))) Как там в ГариПоттере? Минус 10 очков Грифендору, т.е. таймвебу, надо других хосетров попробовать.
  • +12
    Какаая-то неделя обломов с регистраторами…
    • 0
      Добавлю в копилку. Где-то месяц назад из панели namecheap пропал домен, сослались на ошибку и вернули на место.
  • +4
    Никогда не понимал, как можно в здравом уме и твёрдой памяти пользоваться R01 и/или Timeweb.
    Кажется, эти ребята уже давным давно дискредитировали свою репутацию, а отмывать её придётся очень долго.
    • +3
      А что было с Timeweb? Пользуюсь ими несколько лет, ничего плохого не припомню
      • 0
        Каждый раз, когда я с ними сталкивался, были дикие проблемы со скоростью работы поддержки, да и самого хостинга.
        Может, мне просто не повезло, но осадочек лучше купить где-нибудь дешёвенький VDS.
        • 0
          А VDS у Timeweb это не решение? Просто я у них как раз VDS и держу.
      • 0
        Это у вас просто мониторинг не настроен.
        https://i.gyazo.com/371863aa4cc36dff021468641d854e1f.png
        Ну и да, ТП просто мертва у них.
        • 0
          Аптайм 99.73% на TimeWeb? Да вы, видимо, везунчик!
          Когда я в своё время пользовался их хостингом, даже мониторинг не нужен был — достаточно было несколько раз в день заходить на свой сайт, чтобы увидеть «качество» их услуг.
          • 0
            поддерживаю, не вы один с этой проблемой
        • 0
          Посоветуйте, хороший недорогой мониторинг.
          • +2
            1) На скриншоте pingdom.com — очень достойное решение, мониторит вполне хорошо, отличная статистика. Раньше даже был бесплатный план на один чек, обещали отключить но пока все работает. Хотя платный стоит недорого. Лучшее решение вообще.
            2) Еще использую uptimerobot.com — рабочий мониторинг, несколько похуже отчеты, но проблемы репортит оперативно и бесплатный план без ограничения количества страниц. Лучшее из бесплатных решений.
            3) pingoscope.com — какой то странный сервис, он мне только отчеты шлет. Реальные проблемы не видит часто. Не рекомендую.
            4) statuscake.com — с виду симпаично, но на практике фигня какая то. Тоже ничего не видит.
            5) mist.io — шлак, я уже не помню почему меня взбесил этот сервис, но он так сильно не понравился, что я даже удалил аккаунт.
            Еще яндекс репортит и битрикс, но рам без статы и не очень то оперативно.
            host-tracker.com не стал пользовать, мне не понравился интерфейс. Для платного решения не
            • 0
              Спасибо, uptimerobot.com поставлю
              • 0
                На здоровье!
                100%-ного аптайма вам ;)
                Там ставить то и не надо, настроить ток. И на динамические страницы настройте
      • +1
        Что было? Посмотрите справа в колонке «вопросы по теме» — «timeweb лежит?», «Shared сервера timeweb взломаны (или qh.php)?», «Проблема выгрузки 1с в Bitrix на Timeweb. Куда копать?»…
  • –1
    Правила безопасного IT бизнеса в России уже давно твердят, что нужно регистрировать домены за границей. Но кто-то всё продолжает колоться и есть кактусы. Я уже давно не удивляюсь очередным подобным постам.
    • 0
      Ну .ru/.рф/.su за-границей не зарегистрируешь, а у многих домены наверняка старше этих самых 10 правил.
      Впрочем, такая ситуация может быть у любого регистратора, в том числе и зарубежного.
      Но в целом согласен с Вашим посылом.
      • +1
        .ru вполне можно зарегистрировать за рубежом. Другой вопрос смысл в этом.
        • 0
          Через реселлера можно. Но в этом смысла действительно нет, т.к. регистратор все равно будет российский. Аккредитованых зарубежных регистраторов на эти домены не встречал (хотя возможно они и есть).
          • 0
            И не встретите, согласно требованиям координатора зон .RU и.РФ:
            Регистратор обязан:
            1.1. являться юридическим лицом, зарегистрированным в соответствии с действующим законодательством Российской Федерации;
    • 0
      А чем иностранные регистраторы безопасней российских? Нахождение в России автоматически делает админку регистратора уязвимой к атакам? Или зарубежом нету человеческого фактора? Да, есть регистраторы, ориентированные на безопасность, например brandnames.com и пары-тройки других, но их крайне мало.
      • 0
        Погуглите «правила безопасного IT бизнеса в России» и всё станет понятно, что не только в безопасности дело.
        • –1
          Бред какой-то.
          Человеческий фактор — есть человеческий фактор, только с людьми говорящими на родном языке и с одним менталитетом всяко легче решить проблему.
  • –2
    Каждый раз в комментария к подобным новостям все пишут, что
    как же можно пользоваться регистратором XXXX или YYYY
    или даже что
    нужно регистрировать домены за границей
    Но все эти люди почему-то забывают, что в России работают тысячи небольших компаний, у которых на 100% российские клиенты и российские домены, ведущие свой бизнес полностью в России. Им нет никакого смысла переводить свои сайты на зарубежные домены или к зарубежным регистраторам.

    Чем писать про девять с половиной правил ведения бизнеса, может стоит что-то в консерватории подправить?
    • +4
      Хм, а зачем тут платить за нерабочую ТП и покупать ru-домены? Если уж и брать такие домены, то с постоянной переадресацией на .com.
  • –3
    Задумался о проблемах с регистраторами. Первое, что пришло в голову для приложений и серверов — держать свои ДНС. А для сайтов — рекомендовать клиентам временно пользоваться ими. Потери будут все равно, но меньшие.
    • +6
      И чем это лучше амазоновских ДНС, которые были у ТС?:)
    • 0
      В данном случаи свои DNSы никому не помогли, их также легко сменили на чужие.
  • 0
    Не удивительно ни разу. TimeWeb уже не раз дискредитировал себя лояльностью к кибер-сквоттерам, «хацкерам» и прочим асоциальным элементам. Доигрались в общем. Лично я с 2011-го пользуюсь услугами «паучка» и не жалуюсь особо.
  • +32
    Интересно, за что удалили статью про reg.ru, на которую вы ссылаетесь и забанили её автора sapl? Reg.ru мягко намекнули админам хабра, что их домен тоже может случайно не продлиться?
    • +4
      Дополню, что на всяких sohabr/sph статья вполне осталась. На первом даже почти со всеми комментариями, который я увидел на момент удаления.
    • 0
      Действительно удалили. Я не успела прочитать, ответили ли автору статьи что-нибудь из ТП, как объяснили ситуацию…
    • +11
      Я вот сейчас чувствую себя как на Дваче. Вроде и отвечаю в теме, а вроде как и знаю, что почти наверняка этого коммента не станет вместе с темой.
    • +2
      Случайно или нет, но 19 апреля 2011 года все получали сообщение об истекшем сроке действия хабрадомена. Есть скриншот.
      • +1
        Если REGISTRATOR-RU в whois — это reg.ru, то могли и позвонить. Телефонное право — оно такое.
        • 0
          В ту пору был mastername.
  • +3
    Про зарубежных регистраторов стоит вспомнить жителям Крыма, домены которых в gTLD начали просто выключать и дропать за то, что они живут в Крыму. Даже домены государственных организаций попали под раздачу.
    • +4
      Мне кажется для бизнеса в Крыму проблема с доменами — самая мелкая проблема которая у них сейчас есть.
    • –4
      Государственных — как раз не «даже». Условно-вероятному противнику логично парализовать работу представительств государства в интернете. Например, заблокировать работу сайта, через который подаётся ежегодная налоговая отчётность. Не исключено, что в очередной раз забаненный гитхаб/реддит даже решит нанести DDoS удар по некоторым госсайтам — например, классическими iframe. Более того, не исключено даже, что более мелкие (и более злобные) сайты наркопродающих террористов-педофилов уже пытаются склонить госсайты нашей Родины к суициду, жестоко насилуя несовершеннолетние скрипты капчи. Но доблестные сколковцы защитят информационный суверенитет, ура!
    • 0
      Факт, но зверствовали только американские регистраторы.
  • +4
    На 10 см за 4 дня??
    • +3
      Главное не переборщить.
      Но если не вышло:
      image
  • +20
    Давайте и эту статью удалим, чо.
    • +9
      И автора забаним.
  • 0
    Потребовал с таймвеба хоть какой-то компенсации и перечисления того, какие меры были приняты. Врядли что-то ответят толковое, но все-таки…
  • +1
    Хм, у нас такая же проблема была с r01.ru. У одного домена клиента был сменен днс на левые. R01 сослались на вирусы. Видимо прочесть, что мы пользуемся Линуксом, с усиленной безопасностью (SELinux) — нельзя. Ответа на это не дали.

    Видимо у них где-то дыра. Был изменен 16 значный пароль (якобы скомпрометирован) и поменяны только два домена из 2х сотен.
    Это было в Январе
  • –2
    Друзья,

    30 августа, в результате действий злоумышленников в системе регистратора R01 для части доменов было инициировано изменение ns-серверов. Наши специалисты оперативно связались со службой поддержки Регистратора R01 для восстановления корректной работы доменных имен, и в 11:30 утра по Московскому времени проблемы были устранены. В системе Регистратора была выполнена автоматическая отмена внесенных изменений в DNS-записи.

    На данный момент все доменные имена делегированы на корректные ns-серверы и готовы к работе. По результатам расследования происшествия будут приняты меры по усилению безопасности, позволяющие предотвратить подобные ситуации в дальнейшем.

    Мы приносим извинения за доставленные неудобства.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.