Суть происшедшего для тех, кому вдруг на самом деле интересно
Были взломаны ДНС сервера регистратора доменов R01.RU (он же
Руцентр, он же reggi.ru)
Все они в ответ на любой запрос стали отдавать любому
к ним обратившемуся IP адрес хакерских ДНС серверов и
хакерских веб-сайтов
Хакнутые ДНС сервера отдали на рутовые сервера
(не по всем доменам, но ПО МНОГИМ) информацию о смене
ДНС севреров для доменов. Не только по зоне .ru, кстати
- это иллюзия, что руцентр не влияет на .net .org .com домены, хехе.
ДНС сервер хакеров стал в качестве зоны отдавать (и
позволять кешировать с МАКСИМАЛЬНЫМИ допустимыми значениями
времени хранения кеша) зону с исключительно своими адресами NS и A.
В результате оказались отравлены кеши всех ДНС серверов,
к которым в этот период были обращения по "отравленным" доменам.
Так, например у меня есть ДНС сервера ns.arda.ru ns3.arda.ru
- прописанные для домена evrazia.org. Однако домен arda.ru висит
на DNS-серверах регистратора ns1.r01.ru и ns2.r01.ru.
В результате этой атаки на ДНС серверах многих провайдеров
(наблюдались МТС и Акадо) в качестве IP для сайта evrazia.org
залип хакерский IP, однако намного более важно то, что для
DNS сервера NS.ARDA.RU на провайдерах залип хакерский IP!
Суть происшедшего для тех, кому вдруг на самом деле интересно