Что случилось 4 августа 2014 с DNS серверами и почему продолжается

[qkowlew]

Суть происшедшего для тех, кому вдруг на самом деле интересно. Кратко.

1. Были взломаны ДНС сервера регистратора доменов R01.RU (он же Руцентр, он же reggi.ru)
2. Все они в ответ на любой запрос стали отдавать любому к ним обратившемуся IP адрес хакерских ДНС серверов и хакерских веб-сайтов
3. Хакнутые ДНС сервера отдали на рутовые сервера (не по всем доменам, но ПО МНОГИМ) информацию о смене ДНС севреров для доменов. Не только по зоне .ru, кстати - это иллюзия, что руцентр не влияет на .net .org .com домены, хехе.
4. ДНС сервер хакеров стал в качестве зоны отдавать (и позволять кешировать с МАКСИМАЛЬНЫМИ допустимыми значениями времени хранения кеша) зону с исключительно своими адресами NS и A.
5. В результате оказались отравлены кеши всех ДНС серверов, к которым в этот период были обращения по "отравленным" доменам.
6. Так, например у меня есть ДНС сервера ns.arda.ru ns3.arda.ru - прописанные для домена evrazia.org. Однако домен arda.ru висит на DNS-серверах регистратора ns1.r01.ru и ns2.r01.ru. В результате этой атаки на ДНС серверах многих провайдеров (наблюдались МТС и Акадо) в качестве IP для сайта evrazia.org залип хакерский IP, однако намного более важно то, что для NS.ARDA.RU на провайдерах залип хакерский IP.

   Как проверить? Если у Вас nslookup ns.arda.ru выдаёт адрес отличный от 217.174.105.39 - DNS server Вашего провайдера или хакнут, или (скорее и точнее) ему отравлен кеш злыми хакерами.

Оригинал там

Comments

[alexkuklin.livejournal.com]

опа, а когда
R01-REG-RIPN стало равно RU-CENTER-REG-RIPN

[shadowfoto.livejournal.com]

интересно, на их стороне 0day, распиздяйство или комбинация?