Злоумышленник установил SSL сертификат на мой Wordpress вебсайт, как мне вернуть контроль над доменом?

Question

[Sidorenkoff]

Вчера мой Wordpress стал отображать Warning: Potential Security Risk Ahead. Посмотреть можно тут
Изначально при установке вордпресс дроплета на Digitalocean-е я вводил команды certbot-у для получения сертификата. Но так как я совершенно не смыслю в подобных вещах, почему то сайт не грузился через https. Поэтому я настраивал вордпресс блог через http.
Прошу помощи так как совершенно не знаю что делать. Пароли были везде разные, почта и хостинг вроде пока не взломаны.
И каким вообще образом кто-то с совершенно левого ресурса (evilboy*io) может запросить сертификат на мой вебсайт? Как предотвратить в будущем повторения подобного?

Comments

[Максим]

Хостер что говорит ?

[Sidorenkoff]

Максим Ленский, Рекомендуете написать тикет в техподдержку? Я просто не совсем понимаю что вообще происходит, гугл не выдает вообще ничего что хотя бы объяснило ситуацию, поэтому решил сначала обратиться сюда.

[Максим]

Sidorenkoff, ну конечно ...написать и только хостер может что то сделать так как правило хостеры имеют без граничные права у себя

[Sidorenkoff]

Максим Ленский, написал, но почему-то думаю не скоро ответят. Был косяк по оплате, два дня не отвечали пока сам не нашел проблему.
Случайно заметил у себя в аккаунте переадресацию домена на левый айпи. Удалил. Видимо аккаунт на digitalocean скомпроментирован. Установил 2фа, жду изменений в ДНС.

[Максим]

Sidorenkoff, я думаю помогут разобраться

[Sidorenkoff]

Максим Ленский, благодарю, до поддержки вроде как не дошло. Если бы внимательнее просмотрел аккаунт, то увидел бы изменения в настройке ДНС, переадресовающие на левый сервер. Проблема была так как выданный мне сертификат не совпадал с айпи того левого сервера. Так что вроде как никто не крал мой сертификат.
Не было бы счастья, да несчастье помогло - из-за возни с ssl у моего блога теперь нормальный рабочий https. Зеленый замок возле адресной строки приятно греет душу.
Спасибо за помощь!
P.S. не устанавливайте shadowsocks по стремным китайским гайдам. Проблема возникла на след день после установки. И адрес левого сертификата зарегистрирован в Китае.

Answer 1

[CityCat4]

И каким вообще образом кто-то с совершенно левого ресурса (evilboy*io) может запросить сертификат на мой вебсайт?

Точно таким же, как и Вы сами. Для CA нет разницы - кто запросил сертификат, особенно если он всего лишь DV - на DV там примитивная проверка на владение доменом и все.
Собственно поэтому любая приличная контора ставит себе на сайт OV или EV сертификат, хотя ничего, кроме расширенной проверки, они не дают.