Xakep #305. Многошаговые SQL-инъекции
Администрация Blockchain.info, одного из наиболее популярных веб-кошельков в интернете, предупреждает о DNS-hijacking атаке на сайт, произошедшей 12 октября 2016 года. Согласно официальным данным, около 11:00 утра по Гринвичу данные DNS были изменены: CloudFlare подменили дешевым хостинг-провайдером из Талсы, США. Зашедшие на сайт посетители, попали на совершенно другие серверы, где могли подвергнуться всевозможным атакам.
Первыми нечто странное заметили сами пользователи сервиса, на Reddit, в Twitter и других социальных сетях стали появиться предупреждения об опасности. Как только операторы Blockchain.info заметили проблему и поняли, что происходит, ресурс был отключен и ушел в оффлайн, а разработчики принялись бороться с атакой.
Earlier today, we discovered our DNS registrar had been compromised. We took immediate action to resolve the issue. (1/3)
— Blockchain (@blockchain) October 12, 2016
To be abundantly cautious, we’re waiting for the DNS to propagate universally across the web before bringing our services back. (2/3)
— Blockchain (@blockchain) October 12, 2016
«Сегодня мы обнаружили, что наш DNS-регистратор был скомпрометирован. Мы незамедлительно предприняли действия для разрешения данной проблемы. В качестве дополнительной предосторожности мы ожидаем обновления DNS по всему вебу, прежде чем вернуть наши сервисы обратно в строй», — писали операторы Blockchain.info.
В настоящий момент сайт Blockchain.info функционирует в штатном режиме. В ходе атаки записи для Blockchain.info были изменены на IP-адреса 198.44.48.226 и 192.236.200.26, а нейм-серверы сменились на DED88057-1.HOSTWINDSDNS.COM и DED88057-2.HOSTWINDSDNS.COM. Сейчас корректные серверы снова в строю:
- Name Server: BETH.NS.CLOUDFLARE.COM;
- Name Server: JAY.NS.CLOUDFLARE.COM.
All services have been restored & are running normally. We apologize for the long wait, and we’ll continue to monitor things closely. (1/2)
— Blockchain (@blockchain) October 12, 2016
