В 2008 году создал сайт, который, спустя время, превратился в водно-моторное сообщество, объединяющее тысячи любителей моторных лодок и катеров. В сезон, посещаемость ресурса превышала 10 000 человек в сутки и кто-то решил, что сайт ему нужнее.

Получив доступ в админ-панель моего регистратора (r01.ru), вор перенес домен к другому (internet.bs) на свой аккаунт. База данных и файлы обманным путем были получены у хостера.

Я потерял проект, над которым работал около 9 лет. Вернуть домен получилось лишь через 8 месяцев. Подробности ниже.

Тревожный звонок


19 мая 2017 года мне позвонил по телефону модератор форума Дмитрий и рассказал, о том, что ему написал некто и представился новым администратором, также сообщил о пропаже некоторых сообщений и глюках с оповещением. В тот момент я находился вдали от цивилизации и о серьезности проблемы даже не догадывался.

На следующий день, оказавшись за компьютером, стал разбираться, бросился в глаза новый рекламный блок Google Adsense во всю ширину страницы. Зайти на форум под своим ником не смог, пошел к хостеру, но и там авторизоваться не получалось.

Разбирательство с хостером


Позвонив хостеру (hts.ru), узнал, что кто-то запросил пароль от аккаунта, предоставив копию моего паспорта. По этой просьбе служба поддержки сбросила пароль и сняла двухфакторную авторизацию (sms). Для получения доступа у меня также потребовали прислать скан паспорта. Согласно регламенту hts.ru, каждый, у кого есть скан паспорта, имеет возможность получить доступ к аккаунту владельца. Как выяснилось позже, достаточно иметь даже не копию паспорта, а грубую подделку копии. В моем случае вор прислал фальшивку, в которой было множество ляпов: неверная дата выдачи, код подразделения, подпись, чужое фото, а дата регистрации по месту жительства оказалась ранее даты рождения. К “копии паспорта” было приложено отсканированное заявление (тоже требование hts), в котором вор просил дать доступ к аккаунту, на котором находится сайт, и подписался совершенно не так, как в присланной “копии”. Мою просьбу об официальном объяснении в hts выполнили, правда указали, что некто прислал копию паспорта, а не фальшивку.

Являюсь клиентом hts с 2008 года. Такой халатности, как сброс двухфакторной авторизации, не ожидал, ведь можно было позвонить, посмотреть логи заходов, хватило бы даже внимательного просмотра “копии паспорта”… Никаких извинений и компенсации от hts не получил, правда и не требовал.

После получения доступа к серверу, пришло понимание того, что сайт находится на другом хосте. Whois говорил об изменении регистратора, а также NS.

Домен украли


В админке регистратора увидел, что домен принадлежит мне, NS — тоже мои.

Ранним утро субботы позвонил регистратору R01 и получил следующую информацию: “Вы — владелец, не переживайте”. Но как не переживать, whois показывает, что изменен регистратор и NS! Повторный звонок в R01 подтвердил мои опасения, домен был перенесен к другому регистратору (международные домены передаются через интернет, без документов), в админ-панели информация обновляется с большим опозданием. На вопрос: «Что делать?», предложили написать тикет и дожидаться понедельника (юридический отдел работает по будням).

Как дожить до понедельника тогда — я не знал. Сердце ёкало, бросало то в жар, то в холод, в голове кружились сумбурные мысли.

Как украли домен


Пароль от почты и у регистратора не был изменен, что говорило о том, что вор их узнал, а сделать это можно было лишь при взломе моего компьютера. Пароль от админки регистратора хранился в браузере FF под защитой мастер пароля (6 символов), а пароль от почты можно было взять в почтовом клиенте Thunderbird.

Точкой взлома в домашней сети стал роутер, его прошивка содержала критическую уязвимость, позволяющую выполнять любые команды извне, в том числе включить telnet, что и было сделано.

Мой компьютер работал под Win10, стоял Avast. В домашней сети было еще два компьютера (Win7 + Avast). Один из них и был взломан, на роутере вор настроил проброс портов с этого компьютера.

6 мая мошенник зашел в мою почту, настроил спам-фильтры и после этого все письма от регистратора стали попадать в папку «Спам», поэтому предупреждения о смене регистратора я не видел. Судя по логам Mail.ru, вор контролировал почту, периодически читал письма в папке «Спам», затем их удалял. Подключения осуществлялись с IP-адресов польского мобильного оператора.

В личном кабинете регистратора была инициирована передача домена к другому регистратору (internet.bs) на аккаунт мошенника.

Кража международных доменов


В сети описано множество подобных случаев и лишь малая часть имеет happy end. Руководства к действию не нашел, поэтому стал писать письма и личные сообщения на форумах людям, столкнувшимся с кражей домена TLD. Один из ответивших, Дмитрий, вызвался помочь за вознаграждение. Я согласился, так он стал моим консультантом.

Случай Дмитрия был идентичным моему, прослеживался почерк мошенника. Телефонная беседа вселила оптимизм. Он рассказал о своем опыте. Ему удалось вернуть домен через нового регистратора (internet.bs). В течение 3 месяцев он вел переписку с “abuse team” (юридический отдел), при этом постоянно обращался в online-чат службы поддержки (по его словам, это ускоряет процесс) и – о, Чудо! (как выяснилось позже, это было именно Чудо), internet.bs вернул домен!

Руководство к действию для возврата домена через регистратора:

1) Старый регистратор должен написать новому о том, что клиент не согласен с передачей домена.
2) Написать самостоятельно письмо новому регистратору и коротко указать о проблеме, при этом сослаться на письмо старого регистратора (номер тикета). Ответ от internet.bs (именно туда чаще всего переносят краденые домены) будет в течение 3-4 рабочих дней.
3) Вести переписку с новым регистратором и предоставлять доказательства своей правоты. Очередного письма от internet.bs можно ждать неделями, забегая вперед — я так и не дождался финального письма.

По оптимистичному прогнозу Дмитрия ждать возврата домена стоило не ранее, чем через месяц. Поэтому я решил восстанавливать работу сайта на новом домене.

Восстановление работы сайта


В ночь с субботы на воскресенье практически не спал и с рассветом решил действовать. Восстановил сайт на домене, зарегистрированном с вечера. Выбрал адрес в зоне RU, полностью идентичный старому, убрав точку перед org.

На новом форуме написал обращение к пользователям и подкрепил его своей фотографией с новым адресом сайта.

Затем разослал письма зарегистрированным пользователям (~14 000 чел.), но, как оказалось потом, из-за ограничений hts письма были отправлены не всем, поэтому позже отправлял повторно.

В тот момент я не верил, что сайт на новом домене сможет заменить постояльцам старый. Зачем им уходить? Однако дружное сообщество меня поддержало.

Вскоре на старом форуме в теме о глюках, которые возникли при краже базы, о полученном от меня письме отписался первый человек, потом второй… Далее активизировался “воришка” (так мы его прозвали), который не потрудился зарегистрироваться, а писал от моего имени и с аватарой, на которой находилось мое фото. Ранее он уже отвечал, что глюки связаны с переездом. Воришка назвал меня лжецом, сообщил всем о том, что сайт продан и теперь он — законный хозяин, а в качестве доказательства предоставил скриншот письма, где я благодарю его за покупку, и пригрозил судом. Однако поверили вору немногие, люди задавали вопросы, поэтому воришка принялся удалять «неудобные» сообщения и блокировать неугодных пользователей.

В первый день на новый форум перебрались несколько десятков человек, однако часть из них продолжала общаться и на старом. Большая часть форумчан поначалу с недоверием отнеслась к новому сайту, кому-то не хотелось сидеть на безлюдном форуме (20 человек online против 500+). Ситуацию помогли изменить активисты из числа перешедших на новый форум, они писали личные сообщения, письма, обзванивали знакомых. Один только модератор Дмитрий, который первым сообщил мне о глюках, написал несколько сотен сообщений и писем. Чтобы высказать протест, люди удаляли свои сообщения на старом форуме, редактировали их, оставляя ссылки на новый сайт, создавали темы о краже сайта, которые впрочем быстро удалялись, а пользователи блокировались. К середине недели новый форум стал домом для более 70 активных участников, при этом новых сообщений на нем было уже больше, чем на старом.

Старый форум жестко модерировался, новый адрес попал в спам-фильтр. Воришка под разными никами агитировал как на подконтрольном форуме, так и на новом. Одно из его сообщений: “100 сбежавших крыс с корабля ничего не изменят, ведь форум посещают более 10 000 человек”. Вор не учёл, что именно эти 100 человек и делают форум.

Полиция


Несмотря на то, что о результативной помощи полиции при краже международных доменов информации я не нашел, а о бездействии писали многие, решил всё же попробовать. Позвонил в полицию, дежурный рекомендовал обратиться в отдел К, занимающийся расследованием преступлений в области ИТ. Дозвонился до этого отдела в понедельник 22 мая и меня отправили писать заявление в областное УВД, на имя генерал-майора полиции. Составил заявление, дежурный его принял, присвоил входящий номер и сказал ждать звонка. Через несколько дней мне позвонил следователь. В назначенное время я пришел в кабинет к сотруднику отдела К, им оказался молодой парень по имени Андрей, он выслушал меня, задал несколько вопросов, после чего я понял, что следователь не силен в терминологии и имеет лишь поверхностные знания в этом вопросе.

Мое заявление с описанием случившегося (страница А4 печатного текста) лежало у него на столе, но видимо для дела этого оказалось недостаточно. Нужны были подробности, поэтому пришлось диктовать расширенную версию, которая начиналась с того, что сайт был создан тогда-то, описывалось, как я узнал о краже и т.п. В итоге получилось 3-4 страницы текста. Во время совместной работы Андрей проявлял заинтересованность, казалось, что он хочет помочь. Я предложил ему сделать запросы в Яндекс и Google, так как на сайте были размещены блоки Adsense и Директ мошенника. Также попросил обратиться к хостеру (MCHost). Передал скриншоты из Mail.ru, где были видны входы с ip адресов из Польши, а также объяснительную от моего хостера и логи действий мошенника на хосте. Через две недели позвонил Андрею, он сказал, что скоро дело передадут в отделение полиции моего района, откуда мне позвонит следователь. Прошел почти месяц, но никаких звонков не поступало. Тогда я позвонил в районное отделение, где меня отправили в областное управление, а оттуда — в районное. Вновь позвонил Андрею, он сообщил, что раз не могут найти, то скорее всего в возбуждении уголовного дела отказано, и для моего случая это — частое явление! При повторном звонке в областное УВД я настаивал на получении информации, на что получил ответ от дежурного, что у него нет времени рыться в журналах и предложил ждать письмо.

Письмо об отказе действительно пришло, получил я его спустя 2,5 месяца после подачи заявления, но об этом — ниже.

Разбирательство с регистраторами


Дождался понедельника, 22 мая, и позвонил в R01. В тот момент я уже знал, что R01 — не мой регистратор, а всего лишь реселлер. Регистратором домена был PublicDomainRegistry, это я обнаружил, просматривая архивный whois.

Трубку в R01 взяла Ирина, выслушала меня и сказала, что передача домена прошла без нарушения регламента. То, что не умею хранить пароли, — это моя проблема. Я рассказал о том, что являюсь их клиентом с 2003 года, затем объяснил про взлом почты, после чего девушка попросила доказательства, сказав, что они пригодятся для обращения в ResellerClub (дочернее подразделение PublicDomainRegistry), именно с этой компанией у R01 заключен договор.

Получить подтверждение взлома почтового ящика в mail.ru оказалось невозможно. Ответ был получен в течение суток: “К сожалению, мы не предоставляем подобных услуг”. Других доказательств взлома кроме скриншотов, на которых видны входы из Варшавы, у меня не было, поэтому отправил их в R01, затем позвонил (вторник, 23 мая). Разговаривал снова с Ириной, как и во все последующие разы. Девушка была вежлива, сказала, что свяжется с бывшим регистратором и сообщит ему о моем несогласии. Не получив письма, в понедельник, 29 мая, снова позвонил в R01, Ирина сообщила, что пока не получила ответа, и тогда я попросил написать в internet.bs.

На следующий день Ирина переслала письмо, полученное от internet.bs, в котором сообщалось, что они готовы к диалогу лишь с регистратором (PublicDomainRegistry).

6 июня наконец получил письмо от R01 следующего содержания: “Получили ответ от нашего “аккаунт-менеджера” о том, что нам скоро ответят. Ожидаем ответ.”

9 июня пришло позитивное письмо, в котором говорилось, что Logicboxes готов к TDRP (Transfer Dispute Resolution Policy), процедура будет стоить 300$. Конечно, я был согласен заплатить эту сумму за восстановление справедливости. Ирина приложила к письму текст, который я был должен отправить в logicboxes.com (еще одно подразделение регистратора). Письмо отправил в тот же день, однако ответ так и не пришел.

20 июня я позвонил в R01, Ирина пообещала написать еще письмо в ResellerClub.

23 июня R01 снова получил «отписку» от аккаунт-менеджера, где тот извинялся и уверял, что скоро займется проблемой.

28 июня R01 в очередной раз получил письмо, в котором аккаунт-менеджер уже сообщал, что не стоит больше обращаться в logicboxes.com, поможет отдел по урегулированию споров PublicDomainRegistry.

Тем временем заканчивался 60-дневный срок блокировки домена, по завершению которого вор мог передать домен очередному регистратору. Я составил жалобу в ICANN и начал активно звонить в R01. Ирина снова написала письма регистратору и в его дочерние структуры.

И – о, чудо! 13 июля, за несколько дней до окончания периода блокировки домена, я получил письмо от Abuse Mitigation Team PublicDomainRegistry в котором говорилось, что они инициировали разбирательство.

14 июля пришло письмо от Internet.bs, в котором было сказано о том, что с ними связался прежний регистратор и разбирательство уже идет. После этого письма к статусу домена clientTransferProhibited (запрет трансфера) добавился clientUpdateProhibited (запрет на редактирование).

27 июля получил письмо от PublicDomainRegistry, в нем сообщалось, что internet.bs не желает возвращать домен. Далее в письме последовало предложение воспользоваться процедурой UDRP или обратиться в суд.

В этот же день я написал письмо в internet.bs с описанием ситуации и предложением компенсировать расходы на разбирательство. 11 августа пришел ответ: “Наш клиент утверждает, что купил домен”.

Тогда я написал еще одно письмо, в котором привел имеющиеся у меня доказательства и попросил предоставить подтверждающие покупку документы. 15 августа получил ответ: “Мы получили письмо, в ближайшее время свяжемся”. По прошествии 10 дней ожидания обратился в online-чат службы поддержки internet.bs, где мне сказали: “Тикет в работе, ждите ответа”. Статус тикета не изменился и еще через 3 недели, после чего решил обращаться в WIPO.

Роскомнадзор


22 мая мне пришло письмо, якобы от Роскомнадзора. В нем говорилось, что поступила жалоба от правообладателя (был указан мой прежний адрес сайта) и требование удалить 3 страницы содержащие профильные книги времен СССР, одна из которых была отсканирована мной лично (изображения содержали вотермарки). Возмутившись, я написал ответное письмо, на что получил отписку: “Разбирательствами мы не занимаемся. Если от владельца сайта поступит претензия в адрес копии сайта, то последует блокировка”. Поскольку главным в тот момент для меня был форум, эти страницы я снял с публикации. Увидев эффект, 31 мая воришка написал еще одно письмо от имени Роскомнадзора, в котором было требование удалить содержание сайта. Не дожидаясь блокировки, на главной странице нового сайта вместо контента опубликовал информацию о краже, а форум закрыл для просмотра незарегистрированными пользователями, кроме одного раздела — “Кража домена”. Сам же принялся звонить в федеральный Роскомнадзор, однако горячей линии по вопросам заблокированных сайтов там не существует. Тогда позвонил в региональный, но ответивший специалист оказался некомпетентен. Выслушав мою историю, ответил: “Раз пришло письмо, значит заблокируют”. В тот же день я отправил заявление в прокуратуру, а через несколько дней для уверенности — в Генеральную прокуратуру. Первым пришел ответ из Генпрокуратуры (13 июля) по электронной почте, ответ от региональной прокуратуры я получил по почте днем позже. Оба информировали: “Роскомнадзор не имеет отношения к письмам о блокировке вашего сайта”.

Вор зарегистрировал домен очень похожий на официальный Роскомнадзора, создал на нем фишинговый сайт с формой обратной связи. Письма отправлял, используя ящик, созданный в этом домене, и использовал шаблон Роскомнадзора.

Следует знать, что Роскомнадзор блокирует сайты лишь по решению суда. Правообладатель должен выиграть суд, и лишь тогда может последовать блокировка.

Новая Моторка


После известия из прокуратуры вернул сайт к прежнему виду, открыл форум для незарегистрированных посетителей. К этому времени старый форум уже опустел, он по-прежнему был посещаем (с поиска заходили тысячи человек), но, кроме сообщений от вновь зарегистрированных, там практически уже было нечего читать. Многие из этих сообщений были вопросами в старых темах, авторы которых писали, что ответят на Новой Моторке.

Новый форум к этому времени уже жил привычной жизнью, люди просто общались, обменивались опытом, возросло количество сообщений от вновь зарегистрированных. Посещаемость превысила 700 человек в сутки, лишь около 10% из них были с поиска.

Видя бесперспективность борьбы за форум, воришка стал модерировать набегами, сообщения о новом адресе висели по нескольку дней. Начиная с августа, они могли висеть больше недели, воришка стал лениться удалять одиночные сообщения о новом форуме, и именно тогда я активно включился в борьбу на старом форуме. Пару раз в день писал в каждой теме с новыми сообщениями о краже сайта и о новом адресе, ссылку ставил через (goo.gl), так как url был добавлен в спам-фильтр. Воришка периодически удалял сообщения вместе с ником, поэтому снова регистрировался и восстанавливал не менее 20 последних сообщений. Уже через несколько недель такой работы старый форум практически перестал пополняться полезными сообщениями.

Вор продает сайт


С момента кражи получил три письма от людей, которым пытались продать сайт. Все они нашли через поиск новый сайт и отказались от покупки. Непосредственно на Телдери сайт не продавался, но именно там его предлагали заинтересованным в покупке похожих сайтов.

Постановление полиции


Вестей от полиции дождался лишь 8 августа: “За время проведения проверки ответы на запросы получены не были, вследствие чего установить неизвестное лицо не представилось возможным, однако установлено, что хостинг регистратора “internet.bs”, осуществляется компанией CentralNic South Site, расположенной по адресу UK, London (т.е. вне юрисдикции ОП-3 МУ МВД России Иркутское). Установить сумму причиненного материального ущерба гр. Ч., за время проведения проверки не представилось возможным, так как не предоставлены соответствующие документы по приобретению домена, хостинга, создания сайта, а также не установлено, сколько лиц посещало данный сайт, реклама на сайте и т.п. Не проведена экспертиза ПК гр. Ч. Принимая во внимание вышеизложенное, состава преступления, предусмотренного ч.1, ст. 158 УК РФ, не усматривается и, руководствуясь п.1 с. 1 ст.24 ст. ст. 144-145 и 148 УПК РФ, постановлено отказать в возбуждении уголовного дела”.

Обжаловать постановление я не стал.

WIPO


Так и не дождавшись обещанного ответа от internet.bs, я решил обратиться в ВОИС (Всемирная организация интеллектуальной собственности). Процедура UDRP в WIPO хорошо отработана.
Заявитель оплачивает пошлину в размере 1 500$ (один арбитр), 2 000$ (три арбитра). Я оплатил 1500$, на сайте wipo.int, используя банковскую карту.

От самостоятельной подачи иска отказался, доверился юристу, которого порекомендовал мой консультант Дмитрий. На тот момент Евгений (юрист), помог вернуть три сайта.

Со слов Евгения, проще вернуть домен популярного сайта. При суммарной посещаемости более нескольких миллионов человек можно говорить о незарегистрированном товарном знаке, что практически приравнивается к зарегистрированному.

Иск был подан 15 сентября, арбитраж назначен на 5 декабря. Однако состоялся только 14 декабря, задержка в 1-2 недели — частое явление.

15 декабря пришло сообщение от WIPO, где было сказано о том, что домен должен быть передан заявителю. 19 декабря пришло электронное письмо с подписанным решением суда.

20 декабря получил письмо от Internet.bs, в котором говорилось о том, что решение WIPO может быть обжаловано владельцем домена в течение 10 рабочих дней, в случае, если этого не произойдет, регистратор приступит к выполнению решения суда после 8 января. В итоге контроль над доменом я получил 12 января, уведомлений по почте об этом не было, просто передали домен на мой аккаунт.

Как обезопаситься от кражи домена


1) Скрыть информацию о домене. Публично не афишировать почту, на которую зарегистрирован домен.
2) Доступ к почте должен быть защищен двухфакторной авторизацией.
3) Домен следует регистрировать у регистратора с хорошей репутацией.
4) Вход в аккаунт регистратора должен осуществляться посредством двухфакторной авторизации.

Если украли международный домен


Как можно раньше восстанавливайте работу сайта на новом домене и уведомляйте пользователей.

Регистратор, принявший домен, не заинтересован в его возврате. Кроме того, он несет ответственность перед ICANN, поэтому в случае отъема домена без решения суда, может сам понести наказание, вплоть до лишения аккредитации.

Считаю, что тратить время на разбирательство не стоит, следует сразу обращаться в WIPO или какой-либо другой суд.

Комментарии (105)


  1. Ugrum
    17.01.2018 14:55

    Детектив со стрельбой и погонями.
    «Ограбление по.....».
    И сейчас все дружно пойдут смотреть предмет тяжб.
    Сайт не упадёт?


  1. dartraiden
    17.01.2018 15:04

    Судя по логам Mail.ru, вор контролировал почту, периодически читал письма в папке «Спам», затем их удалял. Подключения осуществлялись с IP-адресов польского мобильного оператора.

    Великолепно. Забыл как-то отключить VPN и потом неделю мудохался с поддержкой, доказывая, что почту не взломали и её нужно разблокировать. А тут заходи с польского IP (параллельно с реальным владельцем), делай что хочешь…

    Что-то не то у mail.ru с подходом к защите.


    1. vism
      17.01.2018 15:31
      +1

      У меня постоянно мэйл почту ломают, я не имею понятия как и откуда. Стоит Eset SS. Все правила просматриваю перед добавлением.
      Пользуюсь мэйлом только для одноразовых регистраций и тестов, так что не парюсь.

      Но просто как-то заходят, даже если меняю пароль через неделю входы.
      Только 2-х факторная авторизация помогла, просто надоело.


      1. VladVR
        17.01.2018 20:22

        С рамблер почтой тоже самое. У меня стим аккаунт пытались украсть. Сменил пароль одновременно на рамблере и стиме после инцидента, буквально через три дня опять вход в стим.
        Есть подозрение, что у хакерствующих подлецов есть доступ к базе, что они имеют хэш и пароль соответственно могут в оффлайне подбирать.
        Почти одновременно с этим вход в микрософт live account, который к этой рамблер почте привязан, но я пользуюсь другим, тот создавал давно, не помню зачем, поэтому пох.

        Поменял еще раз, сделал разные пароли на рамблер и стим, пока какое то время ничего нет.
        Нет у меня памяти чтоб помнить тучу разных паролей, поэтому многие мои аккаунты имеют одни и те же пароли. Всего несколько разных у меня.


        1. sumanai
          17.01.2018 20:26
          +1

          Нет у меня памяти чтоб помнить тучу разных паролей

          Зато она есть у компьютера. Юзайте парольные менеджеры.


        1. zirix
          17.01.2018 23:58

          Есть подозрение, что у хакерствующих подлецов есть доступ к базе, что они имеют хэш и пароль соответственно могут в оффлайне подбирать.

          Возможно у вас на PC/телефоне троян. Он и ворует пароли.


          1. VladVR
            19.01.2018 12:23

            С гугловой почты не ворует, хотя именно к ней привязан и стим и винда.


        1. alekssaff
          18.01.2018 01:53

          Коллеги, а вы случаем не на винде без обновлений сидите?


          1. Vladal
            18.01.2018 13:23

            … кроме винды — антивирус не как в статье?


          1. VladVR
            19.01.2018 12:25

            Я с обновлениями, винда лицензионная. Антивирусы не использую, кроме вин-дефендера дефолтового.


    1. u1d
      17.01.2018 17:03
      +1

      Вы всё еще кушаете кактус?) У меня mail.ru стал просить телефон как-то после поездки в другой город с ноутбуком, залогиненным в почту, якобы для пущей безопасности, 2FA, ага. В почту не давал войти. На том и распрощались.


      1. dartraiden
        17.01.2018 17:07
        +1

        Ради терабайта в облаке.


      1. melt
        18.01.2018 02:18

        Да они так-то правильно делают. Судя по тому, сколько у них орущих везде в комментариях людей, потерявших доступ к почте. В таких ситуациях нужен второй фактор. Для одной не очень нужной почты я просто добавил резервный адрес почты и никаких проблем :)


  1. GoldKeeper
    17.01.2018 15:29
    +1

    Точкой взлома в домашней сети стал роутер, его прошивка содержала критическую уязвимость, позволяющую выполнять любые команды извне, в том числе включить telnet, что и было сделано.


    Специалистом в области ИБ не являюсь и вероятно потому возникает вопрос, как такое вообще возможно, нет ли вины провайдера?


    1. dartraiden
      17.01.2018 15:38

      Нет, это вина производителя роутера. Вот схожая уязвимость в устройствах Netgear:

      Обнаруженная уязвимость допускает удалённое выполнение команды на маршрутизаторе, если пользователь откроет в браузере веб-страницу с вредоносного сайта или с нормального сайта, вместе с которой загрузится вредоносный рекламный баннер через AdSense или любую другую рекламную сеть. По локальной сети можно инициировать удалённое выполнение команды простым запросом к маршрутизатору.


      А вот D-Link:
      В прошивке беспроводных маршрутизаторов D-Link обнаружена критическая уязвимость, позволяющая инициировать выполнение на устройстве произвольной shell-команды через отправку специально оформленного HTTP-запроса, без прохождения аутентификации.


      1. Sayonji
        17.01.2018 18:58

        А я всё равно не понимаю, как даже получение полного контроля над роутером может помочь в краже пароля от почты. Подскажите, пожалуйста.


        1. dartraiden
          17.01.2018 19:28

          В статье же написано. К роутеру были подключены несколько ПК. Злоумышленник получил возможность взломать один из них. Настроил проброс портов. Тем самым, если очень упрощенно, компьтер стал «светить» портами в Интернет. Видимо, не были установлены обновления безопасности и удалось его «взломать» (например, был открыт нужный порт и не установлена заплатка).

          То есть, роутер выступил в качестве точки проникновения в локальную сеть.


          1. OnYourLips
            17.01.2018 23:31

            Окей, один из компьютеров в локалке взломан.
            Как это повлияет на возможность взлома других компьютеров?


            1. nochkin
              18.01.2018 06:58

              Например, можно переназначить адреса почтового сервера на свои.


              1. OnYourLips
                18.01.2018 09:24

                Откуда ssl-сертификаты достанете для переназначенного домена?


                1. nochkin
                  18.01.2018 16:27

                  Очень многие не используют tls соединение или вообще стоит «доверять всем». Есть большой шанс, что не надо даже с сертификатами заморачиваться.


                  1. OnYourLips
                    18.01.2018 17:06

                    Человек, который не разбирается в компьютерах, «доверять всем» не сможет — не сумеет настроить.
                    А который разбирается — не будет.


                    1. nochkin
                      19.01.2018 06:07

                      Там часто просто кнопка типа «Trust all».
                      А если не использовать tls, то тоже особо много «не разбираться» не надо, что бы было без шифрования и проверок по-умолчанию.


            1. vanxant
              18.01.2018 08:16

              А и не надо, если везде один акк файрфокса (он через своё облако синхронизирует сохранённые пароли между компами)


            1. dartraiden
              18.01.2018 16:00

              Мы не знаем, что было на взломанном компьютере. Возможно, с него автор тоже работал, там остались логины-пароли.

              Гадать через интернеты трудновато.


              1. SergIrk Автор
                18.01.2018 16:08

                Другими компьютерами не пользовался.


    1. White_Kaluga
      17.01.2018 15:58

      Вины провайдера нет, т.к. он предоставляет доступ к ресурсам интернета и не несёт ответственности за сохранность данных на ваших устройствах.


      1. Lyazar
        17.01.2018 16:21

        А если бы роутер был от провайдера?


        1. White_Kaluga
          17.01.2018 17:02

          Если вы хотите углубиться в данную тему. То конечно же в идеализированном мире все определяется договорными отношениями. Если вы при заключении договора с провайдером пропишите соответствующую строчку по типу «Провайдер возмещает в полной мере ущерб причиненный от взлома устройств подключенных по каналу связи провайдера и/или при использовании оборудования и провайдер его со своей стороны подпишет. То при возникновении подобной ситуации вы сможете на что-то рассчитывать. Останется только доказать что взлом произошел именно по этому каналу. По факту ни один провайдер не пойдет на подписание такого договора


    1. grassfrost
      17.01.2018 15:58

      Интереснее что за роутер такой?


      1. SergIrk Автор
        17.01.2018 16:01
        +1

        D-Link DIR-615


        1. librarian
          17.01.2018 16:58

          Я помню как гостили у родителей жены и мы приехали к ним ночью. Про интернет спросить забыл, поэтому в 2 часа ночи, когда уже все спали похакал их роутер (там был какой то длинк простой, к которому я проводом подключился, благо был провод к сетевому диск, похакал админку, узнал пароль от wifi)


          1. kaftanati
            18.01.2018 10:20

            Кнопки WPS снаружи не было?


            1. Vladal
              18.01.2018 13:26

              Без кнопки WPS нет представителя кошачьих, использующего элетротехнический прибор.


  1. Mragvlik
    17.01.2018 15:58

    Руководства к действию не нашел

    Ну, теперь есть и очень даже подробное. Спасибо за статью!


  1. aivus
    17.01.2018 16:09

    Думал, такое только в кино бывает. Спасибо за отличную статью.


    Вопрос: если не секрет, сколько всего по финансам вышел возврат домена? Включая все "комиссии" и вознаграждения.


    1. SergIrk Автор
      17.01.2018 18:53

      ~170тр


      1. anprs
        18.01.2018 10:46

        Хостеру предъявлен иск на эту сумму?


  1. Browning
    17.01.2018 16:22

    Интересная история, особенно про метод взлома интересно. Однако же замечание: Роскомнадзор вполне имеет право блокировать сайты без судебного решения.


    1. SergIrk Автор
      17.01.2018 18:16

      Но не может заблокировать по письму-жалобе от правообладателя.


  1. b1nary
    17.01.2018 16:24

    Вспомнил такую же остросюжетную статью на Хабре, как человек онлайн приобрёл за границей 3D принтер и открыл для себя дивный мир Российской таможни.


    1. witka
      18.01.2018 02:10

      а можно ссылочку?


      1. xxxTy3uKxxx
        18.01.2018 09:29

        Скорее всего, речь идет об этой статье


      1. b1nary
        18.01.2018 11:11

        geektimes.ru/post/205038 видимо статья была раньше на хабре.


  1. tommyangelo27
    17.01.2018 16:27

    А как вы доказывали факт первоначальной регистрации домена? Чисто теоретически, что было бы, если бы воришка удалил все входящие в ящике?


    1. aivus
      17.01.2018 16:39

      Не думаю, что скрин письма — это сильное доказательство.


      Есть же whois, там, думаю, есть информация по предыдущему владельцу.


      1. SergIrk Автор
        17.01.2018 18:22

        Да, в whois была информация, если privat person, то для доказательства потребует подтверждающее письмо регистратора.


  1. forcam
    17.01.2018 17:19
    +1

    Я уже в который раз читаю эти несомненно интересные истории как уплывают проекты за десятки, а иногда и за сотни тысяч долларов, в том числе кошельки с такими суммами и даже покерные аккаунты. Но если вы зарабатываете в месяц условно 2000-10000+$, почему не купить отдельный ноутбук за несчастные 200-500$, выключить на нем аппаратно: модули wifi и bluetooth, поставить на нем WinXP со всеми обновами или Linux, поставить норм роутер и фаер в которых сделать доступными для входа только 1-2 IP которые вам нужны для вашего проекта, и включать эту машину и этот роутер только тогда когда вам это нужно. Почему так не сделать? Авось пронесет? Да, понятно, что и ее могут взломать, но шансы взлома тогда уменьшатся на порядки, потому что из цепочки уйдет очень много ненужных факторов.


    1. sumanai
      17.01.2018 18:45

      WinXP со всеми обновами

      Там не только обновления, но и грамотная настройка нужна, вряд ли автор на такое способен.


      1. forcam
        17.01.2018 20:54

        Да хоть и Windows 7, не знаете как — наймите норм спеца. Главное «закопать» и откапывать только когда это действительно нужно, а так, потенциально:
        родные или вы скачали и запустили не тот софт на смарте, вы или ваши родные перешли не на тот сайт, не по той ссылке, не ту картинку посмотрели, не тот файл скачали и все — труд всей вашей жизни уплывает в неизведанные края, а вы получаете головняк на 3-6-8 месяцев, а иногда и вовсе теряете проект, ну и попутно тратите космические суммы, что бы «вернуть все что нажито непосильным трудом», потраченные нервы я тут не описываю, думаю это неописуемо «приятные» ощущения.


    1. bogolt
      17.01.2018 23:11

      Мне вот непонятно, что делать когда виноват в том что данные украли совсем не ты?
      habrahabr.ru/post/210718

      Для подобных случаев лично мне бы хотелось специальных договоров с провайдерами и хостерами, чтобы в них оговаривались все варианты при которых мне могут восстановить «утерянный» доступ.
      И желательно логин не по паролю а по pgp ключу.


  1. hapylestat
    17.01.2018 17:19
    +2

    «Как обезопаситься от кражи домена»
    забыли добавить, иметь дома роутер без дыр и хорошей репутацией. Все вроде с него и началось.


  1. Cheater
    17.01.2018 17:19

    Зачем у вас разрешён входящий порт 80 на роутере из внешнего мира?
    Известно ли, как был взломан комп с Win 7?


    1. SergIrk Автор
      17.01.2018 18:33

      Я не специалист в области ИБ. 80 порт не был включен. Как был взломан компьютер не знаю, следов взлома не обнаружил, лишь исключения для этого ПК в настройках роутера.


      1. Cheater
        17.01.2018 19:08

        Извиняюсь, неправильно понял — увидел выше в комментах ссылку на уязвимость D-Link-ов при обработке входящих HTTP запросов, подумал что роутер через неё взломали.

        Тогда я бы не был так уверен, что сначала взломали роутер, а потом win7. Взлом мог начаться с компа с win7, после этого доступ к роутеру дело техники. Для взлома роутера должно сойтись много условий: у вас должен быть внешний IP, злоумышленник должен его узнать (не очень тривиальная задача, если ваш IP неизвестен широкой общественности), на роутере должен быть вами ДО взлома открыт хоть какой-то порт во внешний мир, а в протоколе, ходящем по этому порту, у роутера должна быть уязвимость. В общем я бы не сбрасывал со счетов банальное хватание вируса на семёрке.


        1. sumanai
          17.01.2018 19:34

          злоумышленник должен его узнать (не очень тривиальная задача, если ваш IP неизвестен широкой общественности)

          Размещаем на его форуме изображение, смотрим, кто онлайн и сверяем с логами своего сервера.


        1. mayorovp
          17.01.2018 20:03

          Через нее и взломали. Есть такой вид уязвимостей — CSRF. Вам присылают ссылку, или подсовывают картинку в рекламном баннере, или как написано выше размещают картинку на форуме — а там редирект на уязвимую страницу в роутере. В итоге ваш браузер делает от вашего имени запрос к роутеру.

          Порт во внешний мир не нужен, достаточно смотрящего внутрь.


  1. rustemka
    17.01.2018 17:21

    Класс! спасибо за материал. Пошел менять пароли и включать двухфакторку.


  1. evgenmax
    17.01.2018 17:28
    +4

    Сергей, отличная статья, с вами приятно было работать.
    Я и не знал, что такие мытарства проходят люди, прежде чем обратиться за помощью в WIPO.
    Буду ее показывать колеблющимся )


    1. aivus
      17.01.2018 18:35

      Я так понимаю, вы тот самый Евгений из статьи, верно?
      Не думали написать статью какую-то о том, как все эти процедуры проходят с вашей стороны?
      Ну или хотя бы в комментарии рассказать?


      1. evgenmax
        17.01.2018 18:50

        Меня не пропускают через песочницу. Пишут, что реклама ) Думаете сюда статью вставить? )


        1. aivus
          17.01.2018 18:53

          Попробуйте без рекламы)
          Но, думаю, тема очень интересная.


          1. evgenmax
            17.01.2018 19:19

            Можно кому-то показать, чтобы сказали где реклама? ) А то вырезал все, что мог, но все равно не вышло ))


            1. EminH
              17.01.2018 23:01

              послал приглашение, пишите пожалуйста. очень интересно почитать про процедуры WIPO


              1. evgenmax
                17.01.2018 23:11

                Спасибо! Текст готов, завтра размещу


                1. evgenmax
                  18.01.2018 11:30
                  +1

                  Опубликовали habrahabr.ru/post/346906


  1. vsespb
    17.01.2018 19:03

    Про WIPO как-то мало расказано. Из чего состоял иск? Какие приводились доказательства? И вообще что это за штука, которая имеет такие полномочия?


    1. Lucidus
      17.01.2018 23:09

      Точно, было бы интересно почитать. Эдакий Ночной дозор. «Всем выйти из сумрака!»©


  1. visirok
    18.01.2018 00:39

    Как Вы думаете, в чём состоял интерес взломщика? Заражать компьютеры посетителей Вашего сайта? Или Вы на этом сайте что-то продавали и были финансовые потоки?


    1. mixaly4
      18.01.2018 00:54

      Я конечно не автор, но, как я понял, трафик на сайте был — соответственно, можно и рекламу размещать (он пробовал), и сайт продать попробовать (тоже пробовал). Ну и гадостью заразить тоже, если предыдущие варианты не дадут существенного дохода.
      UPD: а еще мог дорвеев там нагенерировать — сайт возрастной, явно имеет «вес» в глазах поисковиков, могло что-то выгореть и с этого.


      1. visirok
        18.01.2018 09:53

        Пардон. Мой вопрос не на тот уровень попал. Мой вопрос был к автору. Может он тоже выскажется?
        Про Ваши соображения. Первые два мне представляются сомнительными. Мне кажется так много денег не заработаешь. Хотя я и не имею точных цифр.
        Знает кто-нибудь, сколько может подобный сайт заработать на рекламе?
        Вариант с рекламой также потому сомнительный, что вредитель засветится в контракте с рекламодателем.


        1. SergIrk Автор
          18.01.2018 10:20

          Может зарабатывать и зарабатывает не всегда одно и тоже. Вор получил сайт с посещаемостью более 10000 человек в сутки, обвешал его рекламой Adsense и Я.Директ. Аппетиты увеличивались постепенно, в итоге баннеров было столько, что они занимали весь первый экран, и не только. С прямой рекламой вор дел не имел, хотя долгое время не снимал размещенные мной баннеры от прямых рекламодателей, тем самым показывая потенциальным покупателям сайта, что ресурс интересен не только рекламным сетям.


          1. visirok
            18.01.2018 19:04

            Во первых, спасибо за интересную статью.
            А во вторых, если не трудно, поясните, как можно получать за показываемые баннеры деньги не раскрыв свой идентитет? Иногда рассказывают о цепочках фиктивных фирм, про поиск добровольцев получать деньги через Western Union.
            Но это уже всё серьёзные масштабы.
            Возможно вор надеялся Вас пошантажировать и вернуть своё за деньги?


            1. mayorovp
              18.01.2018 19:52

              На поддельный паспорт он мог получать их. Если он отправил поддельный скан паспорта в поддержку — что мешает повторить тот же трюк с Adsense и Директом?


            1. SergIrk Автор
              18.01.2018 20:31

              При желании по идентификаторам Adsense и Я.Директ можно было выйти на след вора, но полиция этим не стала заниматься.


  1. Zubodont
    18.01.2018 02:01

    Ничего себе история. Прочитал полностью! Серьезный жизненный опыт получен.


  1. Slavikve
    18.01.2018 02:02

    Я вибрировал от чтива, спасибо автору.


  1. pupsegadm
    18.01.2018 02:02

    internet.bs — один из самых абузостойких регистраторов. Это известный факт.
    PS: не являюсь веб-мастером, но мои клиенты, сеошники бывало попадали с ним.
    Этот регистратор занимается самоуправством в отношении доменов своих клиентов.


  1. VeldRiN
    18.01.2018 06:58

    Дорогое удовольствие заявку написать в WIPO, видимо, только если домен очень нужен.


  1. bosom
    18.01.2018 07:28

    Именно поэтому я никогда не пользовался r01 и подобными и никому не рекомендовал, а все домены которые были там зарегистрированы знакомыми или клиентами всегда переводил на другого регистратора.
    Мой основной регистратор это nic.ru, там так домен не украсть, даже имея доступ к почте владельца домена или даже к аккаунту nic.ru владельца, домен не украсть… :)


    1. SergIrk Автор
      18.01.2018 07:36

      Претензий к R01 у меня нет, они делали все возможное чтобы помочь мне. На момент регистрации домена R01 работал как реселлер PublicDomainRegistry, после сам получил аккредитацию. Кстати, R01 входит в одну группу компаний с Nic.ru. Огорчает, что в R01 нет двухфакторной авторизации, впрочем как и у большинства регистраторов.


      1. Hashinger
        18.01.2018 10:47

        У nic.ru есть услуга.
        Все действия с доменом совершаются только при личном присутствии в офисе регистратора. Хотя это коенчно не остановит ни от чего.
        Вопрос почему были выбран Avast он, что есть, что его нет, прохоной двор на компьютере.


        1. VSOP_juDGe
          19.01.2018 07:55

          А почему не остановит ни от чего? Они по идее должны как в банке паспорт и внешность сверять.


  1. mokhin-denis
    18.01.2018 07:38

    Спасибо за статью! Удачи автору!


  1. AkshinM
    18.01.2018 07:51

    Кастрировать сразу, а потом долго пытать людей, которые занимаются такими мерзкими делами! Жалко что не поймали его. Очень часто такого рода люди остаются безнаказанными


  1. romka777
    18.01.2018 10:27

    А Вы не пробовали сложить все затраченные деньги и предъявить это всё в hts.ru? Насколько я понял в случившемся как минимум половина вины лежит на них, ведь по их вине у злоумышленника оказалась БД и код, т.е. фактически копия проекта.
    Скажите, если бы у Вас украли только домен и Вы бы запустили проект на новом, стали бы вы судиться и тратить столько денег, для возврата старого домена?


  1. MonkAlbino
    18.01.2018 12:07

    После явной халатности хостера удивляет, что вы всё ещё у них.
    Также сбросьте всем пользователям пароль — копия базы могла у злоумышленника ещё остаться и кто знает как там эти пароли хранятся.


    1. SergIrk Автор
      18.01.2018 12:18
      -1

      В базе хранятся хеши.


      1. mayorovp
        18.01.2018 12:33

        Хеши дают время на смену паролей — но не спасают от офлайн перебора по словарю.


        1. SergIrk Автор
          18.01.2018 13:13

          Пользователям рекомендовал изменить пароли, особенно тем, кто использовал одинаковый пароль с почтой или другими сервисами.


  1. granade18
    18.01.2018 12:49
    -1

    Ооо да у вас тут группа лиц работала. Вор украл, мошенник перевел. Ужас какой.


  1. ktoestkto
    18.01.2018 12:51

    По некоторым следам можно найти контакты злоумышленника. А на популярном сео-форуме есть тема, где отписалось несколько человек, пострадавших от его аналогичных действий.


    1. SergIrk Автор
      18.01.2018 13:07

      Я тоже провел свое расследование. Нашел информацию в истории whois одного из доменов с таким же ящиком как у вора и украинским тел. номером.

      В декабре со мной связался еще один бывший владелец домена, на страницах украденного у него сайта вор установил Adsense с тем же идентификатором, что и на моем сайте. Дмитрий, так зовут пострадавшего недавно писал о своей истории на Хабре, в его случае вор передал домен на другой аккаунт reg.ru. Под давлением регистратора Дмитрий снял статью с публикации.


      1. NoRegrets
        18.01.2018 20:58

        У вас теперь есть сумма ущерба, 170 тыс. рублей. Есть решение суда, что домен был у вас украден. Есть идентификатор адсенса. Попробуйте еще раз. Может быть есть возможность обратиться в полицию другой страны?


      1. UksusoFF
        20.01.2018 12:11
        +1

        Было бы интересно почитать про давление от регистратора. Статью все еще можно увидеть тут: https://sohabr.net/habr/post/343786/


  1. evpanov
    18.01.2018 13:13

    Хотел подзабить в этом году на WhoisGuard. После прочтения одумался. Спасибо!


  1. saboteur_kiev
    18.01.2018 13:39

    Обиднее всего, что вор остался ненаказанным.


    1. firk
      18.01.2018 14:03

      Ну а как же, все шумят и недовольны, когда правоохранительные органы обращают внимание на интернет, говорят — сами разберёмся лучше. Вот они и не обращают по возможности. Если бы было полноценное регулирование и заметная практика ведения дел по причинам нарушений в интернете, думаю автора бы так не отослали из полиции.


      1. saboteur_kiev
        18.01.2018 14:59

        Все шумят и недовольны не тогда, когда государство обращает внимание на интернет, а когда оно туда лезет гремя шваброй и ломом, не понимая как все работает.

        В данном виде действительно сами разобрались лучше, ибо правоохранительные органы по сути в этой статье даже в терминологии не особо разбирались.


  1. Raftko
    18.01.2018 15:05

    Я вот удивляюсь насколько иногда в людях деструктивное преобладает над конструктивным. Это же сколько сил потратил вор! Получить доступ через сетевую уязвимость к ноуту, вытащить нужные пароли, подделать паспорт, перенести хостинг, домен, изображать из себя админа, модерировать форум, настраивать спам-фильтры и ежедневно банить, прикидываться росокомнадзором, создать фишинговые сайты, почты и в конце тайно продавать проект. И для чего?! Чтобы в итоге всё равно привести форум к запустению! Сомневаюсь что полученная прибыль окупила такие старания. Его бы мучения да в нужное русло! Профит был бы в разы больше.
    P.S. Отдельно повеселило как вы прозвали злоумышленника — «воришка». Снисходительно, по-детски мило! Я бы думаю дал ему кличку из тех, что здесь писать не принято. Есть чему у вас поучиться. Спасибо за статью.


    1. Wan-Derer
      21.01.2018 09:35

      Не думаю что он хотел развивать ресурс. Сдаётся мне, он просто хотел его продать. А баннеры разместил из жадности. Если бы не они, возможно, хозяин бы не чухнул, время бы прошло и ресурс уплыл бы окончательно.


  1. uploadfor
    18.01.2018 15:05

    Чувак, ты же наверняка это читаешь. Будь добр, выйди из тени — расскажи нам так же обстоятельно, как и твоя жертва, о том, как ты всё это провернул, сколько с этого в итоге поимел, кто ещё пострадал так же, как и автор, и, что самое главное, почему у нас такое до сих пор продолжается и будет продолжаться впредь, несмотря на все способы защиты, которые нам рекламируют и продают как панацею.

    Можешь без имён, явок и паролей. Один хрен ты останешься абсолютным анонимом, а мы хотя бы одну подобную историю, наконец, непосредственно из первых уст двух противоборствующих сторон послушаем.


  1. vandriichuk
    18.01.2018 18:58

    И это столько суеты со стороны вора ради сайта? Зачем?


    1. SergIrk Автор
      18.01.2018 19:03

      Бизнес такой. Дело поставлено на поток.


  1. bro-dev
    19.01.2018 04:55

    интересно сколько стоит такой сайт 10к в сутки, сколько пассивно приносит, сколько расходы и какие они.