Особенность или уязвимость DNS-серверов reg.ru?

Question

[Никита]

Произошла неприятная ситуация с reg.ru.

Был куплен домен на reg.ru, у него автоматически были проставлены DNS-сервера ns1.hosting.reg.ru и ns2.hosting.reg.ru.
Приблизительно через 20 дней вернувшись к проекту обнаружил, что для домена прописана A-запись с IP-адресом 147.135.191.81 какого-то "левого" хостинга. А так же, домен добавлен в черные-списки в Google Safebrowsing и Yandex Safebrowsing. Заходя на сайт браузер выдает красный экран с надписью "Осторожно, поддельный сайт!".

Обратился в тех. поддержку, с вопросом, что происходит и как к моему домену смогли прописать A-запись.
Ответ:

При использовании хостинговых DNS-серверов ns1.hosting.reg.ru и ns2.hosting.reg.ru домен автоматически привязывается к услуге хостинга, где он был добавлен раньше. То есть ваш домен раньше был добавлен на другой услуге хостинга и, когда вы указали DNS-серверы (я не указывал, при покупке домена они прописались автоматически), он автоматически был привязан к данной услуге.

Мы обновили зону DNS домена и перенаправили его на вашу услугу хостинга.

Такова особенность работы DNS-серверов ns1.hosting.reg.ru и ns2.hosting.reg.ru, при добавлении домена на хостинг ресурсные записи добавляются автоматически, чтобы сайт сразу был готов к работе. Однако, если домен уже добавлен на хостинге, он привязывается к данному хостингу. Чтобы исключить такую возможность, вы можете использовать DNS ns1.reg.ru и ns2.reg.ru и вручную привязывать домен к хостингу. Информация по данным DNS доступна по ссылке.

Если такая ситуация возникает, по обращению владельца домена мы перенаправляем домен на необходимую услугу хостинга.

Как вы считаете, является ли этот случай следствием уязвимости и некорректной работы reg.ru или это нормальная ситуация и просто "особенность работы DNS-серверов"?

P.S.
Кто-нибудь сталкивался с попаданием в Google Safebrowsing и Yandex Safebrowsing, насколько быстро/сложно от туда вылезти и повлияет ли эта история на дальнейшее продвижение сайта?

UPD.
На текущий момент, сайт уже в 4 базах, думаю они друг у друга берут информацию. Придется потратить не мало сил и времени на то, чтобы обелить домен :(

Comments

[Илхомжон Матазимов]

У меня точно такая же ситуация была. Теперь я знаю, что не один

[Никита]

jabrik, очень похоже на то, что это не случайность, а отработанная схема. Злоумышленники как-то сканят новые зарегистрированные домены и вешают ни них фишинговые сайты (мое предположение). В моем случае я вернулся к настройке сервера только через 20 дней, то есть все это время там висел вредонос :(

[Илхомжон Матазимов]

Никита, абсолютно с Вами согласен! Я уже не пользуюсь reg.ru, кинул их в чс, и Вам советую

[Дмитрий]

рег ру днище днищное, постоянные истории как от у их клиентов уводят сайты чуть ли не с помощью их техподдержки не внушнают доверия к этой конторе. бегите оттуда.
Вот только одна из историй с их участием https://habr.com/ru/company/poiskvps/blog/413553/

[maryaTurova]

Дмитрий, Подскажи куда уходить? Меня тоже уже васче не устраивает reg.ru.

[Дмитрий]

maryaTurova, ну это вы сами, в зависимости от своих потребностей и возможностей. хостеров полно. я свои машинки держу у одного русскоговорящего хостера в Голландии, а DNSы перевел из России в GoDaddy , меня все устраивает. Но у меня нагрузки слабые - личные учебные проекты скорее.

Answer 1

[Сергей]

По поводу очищения домена из базы, это абсолютно на проблема, занимает обычно от 2 дней до недели.
1) Прикрепляете к домену свой чистый сайт,
2) добавляете в гугл консоль и яндекс вебмастер, в обоих системах есть проверка сайта на вирусы. Подаете заявки на проверку сайта.
3) ESET. Информация есть на этой странице. Им нужно отписаться на их email (желательно на английском), о том что сайт false positive.
4) Sophos AV. Заходите на эту страницу , выбираете "Web Address" и заполняете форму, в комментарии пишете также что "false positive url"

ps. Если добавится другой антивирус то ищем сайт антивируса и формы обратной связи или почты поддержки и отписываемся туда с пометкой "False Positive Submission". Обычно компании отвечают 1-3 суток и убирают сайт.

ps2. По своему опыту скажу что на историю домена не повлияет, не один десяток сайтов чистил от вирусов, закрывал дыры. Потом отписывался компаниям антивирусов и сайт возвращался в поисковик и обратно в топы поиска (конечно если он там был до этого=) )

Comments

[Никита]

Спасибо! Всем написал, буду ждать ответ :)

Answer 2

[Антон]

Приветствую. Это особенность работы.

Такой же фокус можно провернуть, например если Вы укажите dns Яндекса, но не добавите его в вебмастер. Любой другой человек сможет добавить его к себе и таким образом подтвердить.

Ровно такая же ситуация с dns происходит и у beget/fozzy/firstvps/,и т д. Выводы делайте сами.

Избежать такой ситуации можно если использовать днс сервера регистратора. Так как у него есть 100% связка домен -владелец никто другой его себе не добавит и управление не получит.

Ну и быть внимательнее к днс серверам при заказе. Не стоит направлять домен на днс которыми вы не управляете

Comments

[Никита]

Согласитесь, если данная особенность присутствует у всех, это еще не значит, что это норма.

Как действовали злоумышленники в моем случае (предположение):
- они мониторили dns-записи новых зарегистрированных доменов;
- нашли домены у которых указаны dns-сервера ns1.hosting.reg.ru / ns2.hosting.reg.ru и не настроена A-запись (когда такое может произойти: не проведена первоначальная настройка хостинга, возможно при удалении услуги хостинга, но это надо проверить);
- для таких доменов создается A-запись ведущая на их хостинг;
- на страницах /reauth и /theme/3744026 (а может и каких-то других) вешают фишинг:



на главной странице была пустота.

Почему мне кажется, что на это стоит обратить внимание:
- Очевидно эту особенность начали (а может уже и давно) эксплуатировать;
- Последствия могут быть весьма серьезные, помимо попадания домена в черные списки, к вам в один прекрасный день могут прийти из органов и спросить, почему с вашего домена, зарегистрированного полгода назад, торгуют наркотиками или воруют данные кредитных карт.

Можно сказать, что сам виноват не проследил, но я даже не подозревал, что такое может произойти. А что говорить о людях не из IT.

Поэтому мне кажется как минимум нужно об этом сообщать большими красными буквами.

[Антон]

Никита, Все верно, данная особенность эксплуатируется уже очень давно.

На тему регламентации - Icann никак не регулирует использование DNS серверов и впринципе систему днс нельзя регламентировать. То есть только администратор домена может направить домен на те или иные DNS сервера, при этом владелец DNS серверов(в данном случае хостинг провайдер) никак не может проверить является ли человек, который добавляет домен (в систему DNS) его владельцем, кроме как предположить что тот кто направляет домен (администратор) производит эту операцию когда понимает что уже добавил/или сразу добавит домен.

Поэтому при всей своей странности ситуации, действительно люди делять на 2 типа, кто уже проверят свои DNS сервера и кто нет, как с бекапами :)

В любом случае вы эту ошибку уже не повторите, а остальные кто прочитает этот пост будут во всеооружии

Answer 3

[rizzli]

reg.ru вообще странно обращается с dns. Если вы, например, включите https через их лк, то ns сменятся. Если была одна ns запись, потом вы ее сменили, то в ходе редактирования dns можете обнаружить, что снова раздается старый ns.

Answer 4

[Сергей Бровко]

Хмм, при покупке домена у вас спрашивают, какие NS сервера вы будете использовать. У reg.ru есть несколько NS серверов, те что с "hosting" для их хостинговой услуги, те, что просто ns1.reg.ru это обычный DNS хостинг (для клиентов регру - бесплатный). Соответственно, если вы кинете домен на хостинговые NS, то она привяжется к услуге, если такая прописана (согласен, косяк, что не проверили принадлежность услуги владельцу домена). Так что это получается невнимательность + особенности хостинговых NS