Домен:
domain: *******.RU
admin-o: *******-GPT
* nserver: ns-*******.awsdns-34.org
* nserver: ns-*******.awsdns-58.com
* nserver: ns-*******.awsdns-12.net
* nserver: ns-*******.awsdns-30.co.uk
state: REGISTERED, DELEGATED
created: 29-11-2011
changed: 30-08-2015
paid-till: 29-11-2015
mnt: TIMEWEB-MNT-GPT
source: R01
заменен на:
domain: *******.RU
admin-o: *******-GPT
* nserver: ns1.hostingnewfree.ru
* nserver: ns2.hostingnewfree.ru
state: REGISTERED, DELEGATED
created: 29-11-2011
changed: 30-08-2015
paid-till: 29-11-2015
mnt: TIMEWEB-MNT-GPT
source: R01
Сверка с whois действительно подтвердила серьезность данного письма, везде фигурировали одинаковые днс, а то, что на данную проблему жаловались несколько клиентов одновременно, заставило попробовать разобраться с проблемой глобально, не занимаясь изучением взлома одного клиента.
Итак, первое письмо пришло около 6 утра по московскому времени, 30 августа.
1) Пробуем на сайте r01.ru зайти в раздел «Вход для клиентов», переход по ссылке радует циклической переадресацией и ошибкой браузера.
2) Звоним в r01.ru, грустный молодой человек сообщает, что о проблеме с разделом они знают, нужно ждать 6-8 часов.
3) Тот-же самый грустный молодой человек сообщает, что о проблеме с доменами зарегистрированными партнером TIMEWEB они также знают, и нужно ждать те-же 6-8 часов, после которых днс вернутся в прежнее состояние.
4) Пишем в чат поддержки тайвеба, получаем не очень ободряющий ответ:
5) Сайты начинают резолвится на левые ip адреса и выпадать из поиска яндекса.
6) На 12:00 по мск панель r01.ru заработала, однако попытка изменить днсы выдает сообщение:
Задание для этого домена уже имеется в очереди
7) Один из клиентов уже сообщает о потери 300 тысяч рублей (снижение продаж в одном из интернет-магазинов), а некоторые жалуются на появившиеся баннеры, предлагающие удлинить член на 10 см за 4 дня. Что дальше и кто будет компенсировать это?
Как и в посте habrahabr.ru/post/265699 все веб-кластеры, репликации и прочие вещи оказываются бесполезными, против «ждите 6-8 часов» от регистратора.
8) На 12:30 по мск, whois начинают возвращать правильные днс.
Саппорт таймвеба сообщает о:
Действительно, сегодня утром злоумышленниками была произведена смена NS серверов для некоторых доменных имен.
9) На 13:00 по мск, partner.r01.ru работает в режиме панели Шрёдингера.
Комментарии (49)
Sunchezzz
30.08.2015 14:01+1Фуух, я думал вирусняки. Порадовали писующие девушки и банер про увеличение члена вместо каталога свадебных платьев на сайте. Спасибо за статью, успокоили, не одни мы такие значит :))) Как там в ГариПоттере? Минус 10 очков Грифендору, т.е. таймвебу, надо других хосетров попробовать.
MaximAL
30.08.2015 16:50+4Никогда не понимал, как можно в здравом уме и твёрдой памяти пользоваться R01 и/или Timeweb.
Кажется, эти ребята уже давным давно дискредитировали свою репутацию, а отмывать её придётся очень долго.
cigulev
30.08.2015 17:39+3А что было с Timeweb? Пользуюсь ими несколько лет, ничего плохого не припомню
MaximAL
30.08.2015 18:01Каждый раз, когда я с ними сталкивался, были дикие проблемы со скоростью работы поддержки, да и самого хостинга.
Может, мне просто не повезло, ноосадочеклучше купить где-нибудь дешёвенький VDS.
121212121
30.08.2015 19:47Это у вас просто мониторинг не настроен.
https://i.gyazo.com/371863aa4cc36dff021468641d854e1f.png
Ну и да, ТП просто мертва у них.
Egor3f
30.08.2015 21:35Аптайм 99.73% на TimeWeb? Да вы, видимо, везунчик!
Когда я в своё время пользовался их хостингом, даже мониторинг не нужен был — достаточно было несколько раз в день заходить на свой сайт, чтобы увидеть «качество» их услуг.
cigulev
06.09.2015 19:51Посоветуйте, хороший недорогой мониторинг.
121212121
08.09.2015 19:56+21) На скриншоте pingdom.com — очень достойное решение, мониторит вполне хорошо, отличная статистика. Раньше даже был бесплатный план на один чек, обещали отключить но пока все работает. Хотя платный стоит недорого. Лучшее решение вообще.
2) Еще использую uptimerobot.com — рабочий мониторинг, несколько похуже отчеты, но проблемы репортит оперативно и бесплатный план без ограничения количества страниц. Лучшее из бесплатных решений.
3) pingoscope.com — какой то странный сервис, он мне только отчеты шлет. Реальные проблемы не видит часто. Не рекомендую.
4) statuscake.com — с виду симпаично, но на практике фигня какая то. Тоже ничего не видит.
5) mist.io — шлак, я уже не помню почему меня взбесил этот сервис, но он так сильно не понравился, что я даже удалил аккаунт.
Еще яндекс репортит и битрикс, но рам без статы и не очень то оперативно.
host-tracker.com не стал пользовать, мне не понравился интерфейс. Для платного решения не
suslayer
31.08.2015 11:15+1Что было? Посмотрите справа в колонке «вопросы по теме» — «timeweb лежит?», «Shared сервера timeweb взломаны (или qh.php)?», «Проблема выгрузки 1с в Bitrix на Timeweb. Куда копать?»…
ZoomLS
30.08.2015 17:46-1Правила безопасного IT бизнеса в России уже давно твердят, что нужно регистрировать домены за границей. Но кто-то всё продолжает колоться и есть кактусы. Я уже давно не удивляюсь очередным подобным постам.
Vilgelm
31.08.2015 01:52Ну .ru/.рф/.su за-границей не зарегистрируешь, а у многих домены наверняка старше этих самых 10 правил.
Впрочем, такая ситуация может быть у любого регистратора, в том числе и зарубежного.
Но в целом согласен с Вашим посылом.
RuJet
31.08.2015 20:06+1.ru вполне можно зарегистрировать за рубежом. Другой вопрос смысл в этом.
Vilgelm
31.08.2015 20:16Через реселлера можно. Но в этом смысла действительно нет, т.к. регистратор все равно будет российский. Аккредитованых зарубежных регистраторов на эти домены не встречал (хотя возможно они и есть).
xarigul
01.09.2015 12:28И не встретите, согласно требованиям координатора зон .RU и.РФ:
Регистратор обязан:
1.1. являться юридическим лицом, зарегистрированным в соответствии с действующим законодательством Российской Федерации;
xarigul
01.09.2015 10:10А чем иностранные регистраторы безопасней российских? Нахождение в России автоматически делает админку регистратора уязвимой к атакам? Или зарубежом нету человеческого фактора? Да, есть регистраторы, ориентированные на безопасность, например brandnames.com и пары-тройки других, но их крайне мало.
ZoomLS
04.09.2015 12:00Погуглите «правила безопасного IT бизнеса в России» и всё станет понятно, что не только в безопасности дело.
FreeLSD
05.09.2015 14:56-1Бред какой-то.
Человеческий фактор — есть человеческий фактор, только с людьми говорящими на родном языке и с одним менталитетом всяко легче решить проблему.
redmanmale
30.08.2015 18:32-2Каждый раз в комментария к подобным новостям все пишут, что
как же можно пользоваться регистратором XXXX или YYYY
или даже чтонужно регистрировать домены за границей
Но все эти люди почему-то забывают, что в России работают тысячи небольших компаний, у которых на 100% российские клиенты и российские домены, ведущие свой бизнес полностью в России. Им нет никакого смысла переводить свои сайты на зарубежные домены или к зарубежным регистраторам.
Чем писать про девять с половиной правил ведения бизнеса, может стоит что-то в консерватории подправить?
Revertis
30.08.2015 20:29+4Хм, а зачем тут платить за нерабочую ТП и покупать ru-домены? Если уж и брать такие домены, то с постоянной переадресацией на .com.
VolCh
30.08.2015 18:53-3Задумался о проблемах с регистраторами. Первое, что пришло в голову для приложений и серверов — держать свои ДНС. А для сайтов — рекомендовать клиентам временно пользоваться ими. Потери будут все равно, но меньшие.
xarigul
01.09.2015 10:07В данном случаи свои DNSы никому не помогли, их также легко сменили на чужие.
XanderBass
30.08.2015 19:35Не удивительно ни разу. TimeWeb уже не раз дискредитировал себя лояльностью к кибер-сквоттерам, «хацкерам» и прочим асоциальным элементам. Доигрались в общем. Лично я с 2011-го пользуюсь услугами «паучка» и не жалуюсь особо.
grossws
30.08.2015 21:36+32Интересно, за что удалили статью про reg.ru, на которую вы ссылаетесь и забанили её автора sapl? Reg.ru мягко намекнули админам хабра, что их домен тоже может случайно не продлиться?
grossws
30.08.2015 21:47+4Дополню, что на всяких sohabr/sph статья вполне осталась. На первом даже почти со всеми комментариями, который я увидел на момент удаления.
EllaVS
30.08.2015 23:01Действительно удалили. Я не успела прочитать, ответили ли автору статьи что-нибудь из ТП, как объяснили ситуацию…
NickKolok
31.08.2015 01:06+11Я вот сейчас чувствую себя как на Дваче. Вроде и отвечаю в теме, а вроде как и знаю, что почти наверняка этого коммента не станет вместе с темой.
reff
31.08.2015 13:23+2Случайно или нет, но 19 апреля 2011 года все получали сообщение об истекшем сроке действия хабрадомена. Есть скриншот.
lehha
30.08.2015 21:41+3Про зарубежных регистраторов стоит вспомнить жителям Крыма, домены которых в gTLD начали просто выключать и дропать за то, что они живут в Крыму. Даже домены государственных организаций попали под раздачу.
shifttstas
30.08.2015 23:59+4Мне кажется для бизнеса в Крыму проблема с доменами — самая мелкая проблема которая у них сейчас есть.
NickKolok
31.08.2015 01:04-4Государственных — как раз не «даже». Условно-вероятному противнику логично парализовать работу представительств государства в интернете. Например, заблокировать работу сайта, через который подаётся ежегодная налоговая отчётность. Не исключено, что в очередной раз забаненный гитхаб/реддит даже решит нанести DDoS удар по некоторым госсайтам — например, классическими iframe. Более того, не исключено даже, что более мелкие (и более злобные) сайты наркопродающих террористов-педофилов уже пытаются склонить госсайты нашей Родины к суициду, жестоко насилуя несовершеннолетние скрипты капчи. Но доблестные сколковцы защитят информационный суверенитет, ура!
vsespb
31.08.2015 00:22+4На 10 см за 4 дня??
xBrowser
31.08.2015 00:40+3Главное не переборщить.
Но если не вышло:
NukerF
31.08.2015 10:54Потребовал с таймвеба хоть какой-то компенсации и перечисления того, какие меры были приняты. Врядли что-то ответят толковое, но все-таки…
equand
31.08.2015 10:59+1Хм, у нас такая же проблема была с r01.ru. У одного домена клиента был сменен днс на левые. R01 сослались на вирусы. Видимо прочесть, что мы пользуемся Линуксом, с усиленной безопасностью (SELinux) — нельзя. Ответа на это не дали.
Видимо у них где-то дыра. Был изменен 16 значный пароль (якобы скомпрометирован) и поменяны только два домена из 2х сотен.
Это было в Январе
aboykov
31.08.2015 19:45-2Друзья,
30 августа, в результате действий злоумышленников в системе регистратора R01 для части доменов было инициировано изменение ns-серверов. Наши специалисты оперативно связались со службой поддержки Регистратора R01 для восстановления корректной работы доменных имен, и в 11:30 утра по Московскому времени проблемы были устранены. В системе Регистратора была выполнена автоматическая отмена внесенных изменений в DNS-записи.
На данный момент все доменные имена делегированы на корректные ns-серверы и готовы к работе. По результатам расследования происшествия будут приняты меры по усилению безопасности, позволяющие предотвратить подобные ситуации в дальнейшем.
Мы приносим извинения за доставленные неудобства.
Fi1osof
Блин, это такая засада(((( Я тоже получил несколько таких «писем счастья». С учетом того, что NS-сервера сменились для доменов, для которых были указаны свои сервера на стороне самого r01, и что «порадовали» клиентов только таймвеба (судя из заметки), то мне видится так, что у таймвеба увели доступы к апи регистратора или типа того… Печаль-досада…