R01 + Timeweb, ваши сайты под угрозой

Сегодня утром ряд клиентов получили письма счастья о смене ДНС серверов:

Домен:

domain: *******.RU
admin-o: *******-GPT
* nserver: ns-*******.awsdns-34.org
* nserver: ns-*******.awsdns-58.com
* nserver: ns-*******.awsdns-12.net
* nserver: ns-*******.awsdns-30.co.uk
state: REGISTERED, DELEGATED
created: 29-11-2011
changed: 30-08-2015
paid-till: 29-11-2015
mnt: TIMEWEB-MNT-GPT
source: R01

заменен на:

domain: *******.RU
admin-o: *******-GPT
* nserver: ns1.hostingnewfree.ru
* nserver: ns2.hostingnewfree.ru
state: REGISTERED, DELEGATED
created: 29-11-2011
changed: 30-08-2015
paid-till: 29-11-2015
mnt: TIMEWEB-MNT-GPT
source: R01

Сверка с whois действительно подтвердила серьезность данного письма, везде фигурировали одинаковые днс, а то, что на данную проблему жаловались несколько клиентов, заставило попробовать разобраться с проблемой глобально, не занимаясь изучением взлома одного клиента.
Итак, первое письмо пришло около 6 утра по московскому времени, 30 августа.

1) Пробуем на сайте r01.ru зайти в раздел «Вход для клиентов», переход по ссылке радует циклической переадресацией и ошибкой браузера.
2) Звоним в r01.ru, грустный молодой человек сообщает, что о проблеме с разделом они знают, нужно ждать 6-8 часов.
3) Тот-же самый грустный молодой человек сообщает, что о проблеме с доменами зарегистрированными партнером TIMEWEB они также знают, и нужно ждать те-же 6-8 часов, после которых днс вернутся в прежнее состояние.
4) Пишем в чат поддержки тайвеба, получаем не очень ободряющий ответ:

5) Сайты начинают резолвится на левые ip адреса и выпадать из поиска яндекса.
6) На 12:00 по мск панель r01.ru заработала, однако попытка изменить днсы выдает сообщение:

Задание для этого домена уже имеется в очереди

7) Один из клиентов уже сообщает о потери 300 тысяч рублей (снижение продаж в одном из интернет-магазинов), а некоторые жалются на появившиеся баннеры предлагающие удлинить член на 10 см за 4 дня, что дальше?

Как и в посте http://ift.tt/1Et8uY1 все веб-кластеры, репликации и прочие вещи оказываются бесполезными, против «ждите 6-8 часов» от регистратора.

8) На 12:30 по мск, whois начинают возвращать правильные днс.

Саппорт таймвеба сообщает о:

Действительно, сегодня утром злоумышленниками была произведена смена NS серверов для некоторых доменных имен.

9) На 13:00 по мск, partner.r01.ru работает в режиме панели Шрёдингера.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.