12:04
13/6/2014

Domena orange.pl, pod którą znajdowała się polskojęzyczna strona Orange.pl przestała dziś nad ranem wskazywać na adresy serwerów należących do Orange — nastąpiła modyfkacja strefy DNS, która sugeruje założenie “sporu” dotyczącego domeny.

Zmiana w WHOIS i DNS-ach Orange

Ponieważ brakuje nam szczegółowej wiedzy zakresu “sporów domenowych” (nie do końca wiemy, z jakich powodów można “założyć spór” w sprawie domeny oraz kto to kontroluje/podejmuje decyzję w tej sprawie), na razie — tzn. dopóki nie otrzymamy oświadczenia od Orange, ograniczymy się do podania suchych faktów:

Jeszcze wczoraj, domena orange.pl wskazywała na 80.48.169.1 i obsługiwały ją te DNS-y:

dns-pub01.centertel.pl. [217.116.100.65]
dns-pub02.centertel.pl. [79.163.127.70]

Oto co teraz pokazuje WHOIS obecnie:

DOMAIN NAME: orange.pl
registrant type: organization
nameservers: ns1.domain-under-dispute.com.
ns2.domain-under-dispute.com.
created: 1999.01.12 12:00:00
last modified: 2014.06.13 05:28:19
renewal date: 2015.01.11 13:00:00

option created: 2012.03.27 12:21:48
option expiration date: 2015.03.27 12:21:48

dnssec: Unsigned

TECHNICAL CONTACT:
company: Melbourne IT Tech
Melbourne IT DBS, Inc.
street: 2560 Mission College Blvd, Suite 200
city: 95054 Santa Clara
location: US
handle: ipmorg_znjwm4
phone: +1.8669073267
fax: +1.6509633266
last modified: 2012.11.02

ABONENT:
firma: Domains Administrator
Orange Brand Services Limited
ulica: 3 More London Riverside
miasto: SE1 2AQ London
lokalizacja: GB
telefon: +44.2075354412
fax: +44.2075354412

REGISTRAR:
IP Mirror Pte Ltd
9 HongKong Street #01-01
Singapore 059652
+65.62220105
register@ipmirror.com

Tym, którym domena (jeszcze) działa, zapewne zaraz przestanie — jak tylko odświeżą się wszystkie cache DNS-ów.

Co mogło się stać?

Winą za ten incydent nie nalezy obarczać polskiego oddziału firmy Orange — nikt tu bowiem nie zapomniał o płatności za przedłużenie domeny. Na razie wszystko wskazuje na

  • albo działanie firmy trzeciej, która z jakiegoś powodu założyła “spór o domenę” i rejestrator go zaakceptował
  • albo włamanie do rejestratora domeny Orange (tj. Orange Business Services lub Melbourne IT Tech) i modyfikację ustawień domeny (strefy DNS) — jak miało to miejsce już wiele razy w przypadku innych firm.
  • albo błąd pracownika Orange — mogło się bowiem tak zdarzyć, że któryś z pracowników Orange Business Services mających dostęp do konta registrara kliknął nie tam, gdzie powinien… ;)
O podobnych przypadkach przejęć domen, ale w kontekście celowych ataków DNS/Domain hijacking pisaliśmy w artykułach dotyczących Syryjskej Armii Elektronicznej, która do mistrzostwa opracowała ataki przejmowania domen poprzez włamania do paneli rejestratorów domen lub poprzez ataki socjotechniczne na pracowników firm zarządzających domenami.

Hiptezę dotyczącą sporu o domenę wyklucza to, że w przypadku arbitrażu domen .pl przenoszone są one na serwery DNS NASK, a tu tak się nie stało.

Konsekwencje utraty kontroli nad domeną

Konsekwencje utraty kontroli nad domeną mogą być spore, zwłaszcza w przypadku tak dużej firmy jak Orange. Jak pisze jeden z naszych czytelników:

Z uwagi, ze domena straciła konfiguracje strefy to komunikacja mailowa jest juz niemozliwa, dodatkowo ze w tej chwili brak SPF-a w tej domenie to spamerzy juz ja wykorzystuja i serwer pocztowe sa “zabijane” tysiacami maili z tej domeny.

Uważajcie więc na spam rozsyłany z domeny orange.pl

Inny czytelnik zauważa, że zaraz może przestać działać część z usług, które wykorzystywały tę domenę jako podstawową, np. mms to e-mail:

host 31.61.132.55
55.132.61.31.in-addr.arpa domain name pointer mmsemail.orange.pl.

Co zrobić, kiedy traci się kontrolę nad domeną?

Brak domeny, oznacza brak komunikacji e-mail oraz brak dostępu do serwisów internetowych. Komunikację i przepływ informacji można zapewnić przy pomocy telefonów (o ile centralki VoIP nie były kierowane na nazwy domenowe zamiast adresów IP ;) a kontakt z klientami można przenieść na media społecznościowe. My przechodziliśmy takie “disaster recovery” po pierwszym DDoS-ie na Niebezpiecznika — refleksjami co do krótkiej utraty kontaktu z klientami i czytelnikami podzieliliśmy się w tym artykule. Wniosek? Warto przygotować się zawczasu na taką utratę komunikacji (czy to przez DDoS, czy przez przejęcie domeny) i przyzwyczajać klientów do innych sposobów komunikacji.

Warto wspomnieć, że dodatkowo, tracąc rekordy DNS, Orange straciło rekord SPF, który utrudnia podszywanie się pod naszą domenę. Orange, jako jeden z większych w Polsce ISP może zminimalizować efekt straty i skalę podszywania się pod swoją domenę spoofując ten rekord na własnych, dość popularnych w Polsce DNS-ach.

Życzymy Orange szybkiego rozwiązania “sporu” i trzymamy kciuki!

Dziękujemy czytelnikom Tomaszowi, Anonymous, oraz Marcinowi za informację.

PS. Orange.com też przestało działać i przeszło w tryb “maintanance”.

Aktualizacja
Wszystko wskazuje na to, że Orange odzyskało kontrolę nad domeną. Obecnie wpisy DNS-ów są poprawne, registrar i kontakt techniczny bez zmian.


Przeczytaj także:



109 komentarzy

Dodaj komentarz
  1. Orange.com tez ma maintenance

  2. To teraz orange zgłosi kradzież domeny a na policji pojawią się szczegółowe pytania: czy złodziej miał łom lub inne narzędzie które umożliwiło kradzież, czy złodziej był zamaskowany oraz czy przedmiot kradzieży był przechowywany w zamkniętym pomieszczeniu.

  3. a pomoc w salonach pewnie też ograniczona bo salony też korzystają z witryny aby cokolwiek wykonać. Ciekawie :)

    • wystarczy skryptem przy logowaniu do AD dopisać w hosts orange.pl na stary adres i salony będą śmigać.

    • Ruch salonowy odbywa się po łączach własnych. Mają nad nim kontrolę i mogą go przepuścić przez własne DNS, które będą zawierały odpowiedniego “patcha”.
      Od biedy na własnych urządzeniach sieciowych pozmieniają ustawienia DNS (jeśli jakaś placówka “jechała” na obcych DNS), a od wielkiej biedy ustawią odpowiednie wpisy w plikach host.

      Klienci, którzy korzystają z ichniejszych DNSów też niczego nie powinni zauważyć – po prostu ich DNSy na czas wyjaśnienia i ewentualnej przymusowej migracji na inne domeny odeślą do odpowiednich IP.

      Problemy z niektórymi usługami lub choćby z zalogowaniem się do ich panelu, będą mieć klienci, którzy ustawili domyślne DNSy… liczba takich klientów nie będzie jednak zbyt duża.

      Ich strony/usługi staną się niedostępne z zewnątrz. Poczta elektroniczna w takich sytuacjach zawsze powinna być traktowana jako niedziałająca – tu istotne są DNSy, które widzi serwer pocztowy piszącego, a nie DNS, które widzi komputer piszącego.

      ———–
      Podsumowując – jeśli ich dział IT to ludzie myślący, to mimo, że całość usług dla klientów może być oparta o feralne domeny, to i tak całość będzie wewnątrz ich sieci hulać.
      Z zewnątrz usługi są niedostępne. Całą komunikację mailową na adresy w obrębie feralnej domeny można zaś traktować jako niedoręczoną.

    • W salonach powinni sobie jakoś poradzić, myślę że w tej kwestii uda się przetłumaczyć pracownikom jak na sztywno ustawić adres serwera w hosts. Ale konsekwencje dla poczty to masakra…

    • ruch wewnętrzny to przez własne serwery się przepuszcza, łącznie z dns. nawet jak na zewnątrz ktoś coś ukradnie/zhackuje, i tak wewnątrz jest to przykryte przez własną infrastrukturę.

  4. Mi w dalszym ciągu działa ta domena

    • ciesz się chwilą i rób backupy ;P

    • Po co robić backupy, skoro to tylko domena? Jeśli coś koniecznie potrzeba z tej strony to 80.48.169.1 do /etc/hosts i po krzyku :p

    • A o opóźnieniu propagacji słyszał? :D

    • Orange, oraz pewnie niektórzy inni operatorzy, wpisali na sztywno adresy nameserverów orange.pl. Jeśli komuś działa, to albo dlatego, albo przez opóźnienie, jak pisze Mike.

    • Według administratorów pewnego dużego serwisu aukcyjnego propagacja dnsów jest automatyczna (przeczytać odpowiedź p. Grochockiego):
      http://cafe.allegro.pl/showthread.php?1703667-Zn%C3%B3w-nic-nie-dzia%C5%82a!!!&p=17846865#post17846865
      Krótki link: http://skroc.pl/propdns

      :)

  5. Jestem ciekaw co teraz przeżywa dział IT w Orange ;) Może, ktoś z nich tu zagląda i się pochwali?

    • jak tylko zadziała im net :D

    • Żeby akurat teraz mieli czas szukać po internetach co właśnie o nich piszą…

    • Ci którzy mieli dzisiaj wolne mają ubaw po pachy :D

  6. Może moje pytanie jest głupie, ale czy może mieć to związek z działaniem ich internetu (neostrada)? Dziś są krótkie przerwy, rozłącza i łączy, przynajmniej u mnie.

    Login DSL jest w domenie @neostrada.pl która przekierowuje na niedziałający orange.pl ale to tylko login.

    • Jakieś lokalne bugi bo mi działa przez ostatnie dni bez problemów, i łącza mobilne i stacjonarne.

  7. W przypadku sporu o domene, zmienia sie jej status, a status obecnej domeny orange.pl to
    Status: Domena zarejestrowana

    Informacje o procedurze sporow mozna znalezc na stronie http://www.dns.pl (Nask).

  8. Pogooglałem chwilę i znalazłem politykę sporów: https://www.icann.org/resources/pages/policy-2012-02-25-en

    • W przypadku domen .pl spór jest toczony w oparciu o NASK, a jak to nie pomoże to WIPO – World Intellectual Property Organization

  9. Nieprzypadkowo dzisiaj jest piątek 13-go ;)

    • Make my day!

  10. Działa na DNS orange, na innych np. google nie

  11. From:
    Date: 2014-06-13 10:24 GMT+02:00
    Subject: nowy MMS Fri, 13 Jun 2014 15:24:41 +0700
    To:

    Usługa Skrzynka MMS jest dostępna dla wszystkich zarejestrowanych użytkowników portalu http://www.orange.pl. Aby korzystać z usługi, zarejestruj się w serwisie http://www.orange.pl i przejdź na stronę Skrzynki MMS. Możesz również w procesie rejestracji włączyć usługę Multi Box. Skrzynka MMS znajduje się w zakładce MMS Multi Boxa.

    Wiadomość multimedialną otrzymaną na Skrzynkę MMS możesz przeglądać, a zawarte w niej elementy możesz zapisać na swoim dysku lub w folderach zdefiniowanych w Albumie MMS

  12. ale co ciekawe, dzis zaczyna sie orange warsaw feastiwal

  13. Mroczna sprawa. Jason wyszedł z jeziora i zaciupał serwery, domenę i dział IT orange.

  14. A czemu nie trafiła do NASK? Przecież w sprawach domen .pl NASK rozwiązuje spory.
    http://www.dns.pl/spory.html regulamin NASK odnosnie sporów.

  15. Działa cały czas

  16. Wczoraj Gozdyra, dzisiaj Orange.

    PS DNSy Orange są bardzo oporne, nadal “słusznie” (bądź nie) tłumaczą ją tam gdzie zawsze.

  17. Możecie poprosić Orange o skomentowanie tej sprawy i o ocenę sytuacji jak wygląda tego typu zamieszanie w ich dziale IT ?

  18. Ktoś im się zwyczajnie włamał do panelu registera i podmienił DNS-y :). Żadnego sporu nie ma bo jeśli by dotyczył domeny z rozszerzeniem .pl to dnsy wisiały by na Naskowych hostach.

    Dane WHOIS domeny orange.pl z dnia 2014-06-09.

    DOMAIN NAME: orange.pl
    registrant type: organization
    nameservers: dns-pub01.centertel.pl.
    dns-pub02.centertel.pl.

    Dane WHOIS domeny orange.pl z dnia 2014-06-13.

    DOMAIN NAME: orange.pl
    registrant type: organization
    nameservers: ns1.domain-under-dispute.com.
    ns2.domain-under-dispute.com.

    Propagowanie nowych dnsów może trwać 24-48h.

    • Jak by im ktoś podmienił dnsy, to by się nie zmienił rejestrator. A wątpię, żeby Orange rejestrowało swoje domeny w Singapurze ;)

      REGISTRAR:
      IP Mirror Pte Ltd
      9 HongKong Street #01-01
      Singapore 059652
      +65.62220105
      register@ipmirror.com

    • http://s.1whois.org/domain-history/orange.pl.html

      Historyczne dane whois:

      “DOMAIN NAME: orange.pl
      registrant type: organization
      nameservers: dns-pub01.centertel.pl. [217.116.100.65]
      dns-pub02.centertel.pl. [79.163.127.70]
      created: 1999.01.12 12:00:00
      last modified: 2013.11.26 21:26:45
      renewal date: 2015.01.11 13:00:00

      option created: 2012.03.27 12:21:48
      option expiration date: 2015.03.27 12:21:48

      dnssec: Unsigned

      TECHNICAL CONTACT:
      company: Melbourne IT Tech
      Melbourne IT DBS, Inc.
      street: 2560 Mission College Blvd, Suite 200
      city: 95054 Santa Clara
      location: US
      handle: ipmorg_znjwm4
      phone: +1.8669073267
      fax: +1.6509633266
      last modified: 2012.11.02

      REGISTRAR:
      IP Mirror Pte Ltd
      9 HongKong Street #01-01
      Singapore 059652
      +65.62220105
      register@ipmirror.com

  19. a wydaje mi sie ze mms i inne usługi na łączach orange bedą działać, o ile ktoś ma domyślne dns, tam wpisy co do domeny istnieją

  20. Spam już leci do klientów także uważajcie:

    Return-path:
    Delivery-date: Fri, 13 Jun 2014 11:35:55 +0200
    Received: from s59.alpha-w15.vectant.ne.jp ([202.215.180.59])
    Received: from [132.46.67.50] (account redirectionwjl@orange.pl HELO sgoptlyefni.hbeswqcsywmea.ua)
    Received: from [38.56.60.85] (account redirectionwjl@orange.pl HELO vttpmgfr.vbaesa.biz)
    From:
    Subject: nowy MMS Fri, 13 Jun 2014 18:35:34 +0900

  21. http://iidrn.com/orange.pl.html :)

  22. oj tez mam już tego dziadostwa w logach sporo

  23. Kto zerknie w dane whoisa sprzed 9 czerwca?
    https://www.aftermarket.pl/lab_whoishistory.php

  24. Mi już wszystko działa :)

    • albo raczej jeszcze nie przestało ;)

    • “Mi …….” to jakies haslo czy to skrypt uruchamia? :D

    • to nie skrypt. to man mi :
      > SOA#1: Admin: mi działa.

  25. i o co tyle krzyku :) juz dziala :P

  26. Już lecą maile zachęcające do odwiedzania http://www.orange.pl

    Return-Path:
    Received: from alicegate.homenet.telecomitalia.it (host95-121-static.224-95-b.business.telecomitalia.it [95.224.121.95])
    by xxx
    for ; Fri, 13 Jun 2014 11:49:43 +0200
    Received: from [99.9.55.7] (helo=yiwwovqwnynuwu.vfrsuntiedewpt.biz)
    by alicegate.homenet.telecomitalia.it with esmtpa (Exim 4.69)
    (envelope-from )
    id 1MM4Y5-0254kk-QL
    for xxxx; Fri, 13 Jun 2014 10:49:42 +0100
    Received: from [40.67.45.19] (helo=zggrkjlnklki.neyii.su)
    by alicegate.homenet.telecomitalia.it with esmtpa (Exim 4.69)
    (envelope-from )
    id 1MMPMK-8083fk-KT
    for xxxx; Fri, 13 Jun 2014 10:49:42 +0100
    Date: Fri, 13 Jun 2014 10:49:42 +0100
    From:
    To: xxxxx
    Subject: nowy MMS Fri, 13 Jun 2014 10:49:42 +0100

    “Usługa Skrzynka MMS jest dostępna dla wszystkich zarejestrowanych użytkowników portalu http://www.orange.pl. Aby korzystać z usługi, zarejestruj się w serwisie http://www.orange.pl i przejdź na stronę Skrzynki MMS. Możesz również w procesie rejestracji włączyć usługę Multi Box. Skrzynka MMS znajduje się w zakładce MMS Multi Boxa.
    Wiadomość multimedialną otrzymaną na Skrzynkę MMS możesz przeglądać, a zawarte w niej elementy możesz zapisać na swoim dysku lub w folderach zdefiniowanych w Albumie MMS”

  27. Póki co dodanie do /etc/hosts wpisu:
    80.48.169.1 orange.pl http://www.orange.pl
    daje nam dostep do serwisu :D

  28. nameservers: dns-pub01.centertel.pl. [217.116.100.65]
    dns-pub02.centertel.pl. [79.163.127.70]
    created: 1999.01.12 12:00:00
    last modified: 2014.06.13 13:20:47

  29. Podejrzewam atak poprzez podstawionego registrara. Może dzięki kolejnym problemom z nimi NASK się nauczy, żeby nie dopuszczać do siebie takich chińskich magików.
    #
    REGISTRAR:
    IP Mirror Pte Ltd
    9 HongKong Street #01-01
    Singapore 059652
    +65.62220105
    register@ipmirror.com

  30. Czyli krótko mówiąc Orange niedługo będzie rekrutować :) Po takim fail ze strony działu IT pewnie polecą głowy.

    • Chyba sobie żartujesz to nie ich wina i nie mieli na to żadnego wpływu. Trzeba mięć trochę wiedzy by o tym wiedzieć, pozdrawiam.

    • jak HR głupi, to wywali i zatrudni kolejnych niedoświadczonych.
      jak HR mądry, zostawi, bo lepiej mieć pracownika po przejściach, tj. doświadczonego.

  31. macie literówkę pod koniec artykułu. nie “maintanance” tylko “maintenance”

  32. Już chyba w porządku (WHOIS):
    NAZWA DOMENY: orange.pl
    typ abonenta: organizacja
    serwery nazw: dns-pub01.centertel.pl. [217.116.100.65]
    dns-pub02.centertel.pl. [79.163.127.70]
    utworzona: 1999.01.12 12:00:00
    ostatnia modyfikacja: 2014.06.13 13:20:47

  33. Przywrócili już poprzednie DNSy.

  34. Strona orange.pl od 13:20:47 posiada prawidłowe DNS i działa.

  35. Widac juz se poradzili:
    DOMAIN NAME: orange.pl
    registrant type: organization
    nameservers: dns-pub01.centertel.pl. [217.116.100.65]
    dns-pub02.centertel.pl. [79.163.127.70]
    created: 1999.01.12 12:00:00
    last modified: 2014.06.13 13:20:47

    renewal date: 2015.01.11 13:00:00
    option created: 2012.03.27 12:21:48
    option expiration date: 2015.03.27 12:21:48

    dnssec: Unsigned

  36. Ja tylko ze swojej (pracowniczej) strony powiem, że wszystkie maile z całej grupy orange (Polski, Francuski i każdy inny) mają domenę orange.com. Problemów z pocztą dzisiaj żadnych nie uświadczyłem, maile z i do gmaila hulają bez żadnych problemów.

    • poczta w domenie z .pl dotyczy komercyjnej usługi MultiBox i to klienci Orange ucierpieli.

  37. nameservers: dns-pub01.centertel.pl. [217.116.100.65]
    dns-pub02.centertel.pl. [79.163.127.70]

    last modified: 2014.06.13 13:20:47

    Chyba już po wszystkim. Wygląda na pochopną decyzję Melbourne IT Tech w sytuacji jakiegoś nieuzasadnionego roszczenia.

  38. Już naprawili. Patrzcie na datę modyfikacji

    DOMAIN NAME: orange.pl
    registrant type: organization
    nameservers: dns-pub01.centertel.pl. [217.116.100.65]
    dns-pub02.centertel.pl. [79.163.127.70]
    created: 1999.01.12 12:00:00
    last modified: 2014.06.13 13:20:47
    renewal date: 2015.01.11 13:00:00

  39. Orange.pl nie dziala u brata na serwerach dNS operatora Multimedia, a jak ustawi serwery DNS neostrady to zadna strona mu sie nie otwiera. Albo to blokuje Orange, albo Multimedia, na serwerach dNS googla, opendns strona nie dziala.

    • zablokowane jest odpytywanie o dns-y tpsa za graniecami polski

      host wp.pl 194.204.159.1
      Using domain server:
      Name: 194.204.159.1
      Address: 194.204.159.1#53
      Aliases:

      Host wp.pl. not found: 5(REFUSED)

  40. pewnie nie ma to związku, ale od wczoraj dostaję maile z From w formacie @orange.pl wysyłane z różnych IP, twierdzące że dostałem MMSa i bym wszedł na orange.pl (link jest do orange, mmsa nie ma, ale może -paranoid mode on – to jakiś grubszy hak)
    Received: from [170.48.8.38] (account overreactxm55@orange.pl HELO vfwho.nyddeirz.info)
    by it (CommuniGate Pro SMTP 5.2.3)
    with ESMTPA id 217529436 for xxx Fri, 13 Jun 2014 09:29:13 +0100
    Date: Fri, 13 Jun 2014 09:29:13 +0100
    From:
    To: rozowy@pomponik.pl
    Subject: nowy MMS Fri, 13 Jun 2014 09:29:13 +0100
    MIME-Version: 1.0
    X-Priority: 3
    Message-ID:
    Content-Type: multipart/mixed;
    boundary=”—-=a__kagorxoea_82_65_45″

    Usługa Skrzynka MMS jest dostępna dla wszystkich zarejestrowanych użytkowników portalu http://www.orange.pl. Aby korzystać z usługi, zarejestruj się w serwisie http://www.orange.pl i przejdź na stronę Skrzynki MMS. Możesz również w procesie rejestracji włączyć usługę Multi Box. Skrzynka MMS znajduje się w zakładce MMS Multi Boxa.Wiadomość multimedialną otrzymaną na Skrzynkę MMS możesz przeglądać, a zawarte w niej elementy możesz zapisać na swoim dysku lub w folderach zdefiniowanych w Albumie MMS.Po 14 dniach MMS zostanie automatycznie skasowany z twojej skrzynki nawet, jeśli go nie przeczytałeś.

    • chyba nie zdążyli podstawić swojego serwera ;)

  41. 1. Ktoś mógł przejąć hasło do registrara i w jego panelu podmienić DNSy chyba, że zrobił to nieogarnięty admin.
    2. Domena nie wygasła, zmieniły sie tylko name serwery.
    3. Skutki w DNS bedą pewnie odczuwalne, przez jakiś czas;)

  42. Panowie przerwa techniczna na allegro.

  43. Allegro też down.

  44. … a na Allegro przerwa techniczna: “Wiemy, że nie wszystko jest doskonałe, ale pracujemy nad tym. Serwis Allegro będzie niedostępny od 16.45 do 18.00. Oferty kończące się w tym czasie przedłużamy o 24 godziny. Dziękujemy za wyrozumiałość.”

  45. Allegro się też wysypało… piątek 13-go?

    • Nie wysypało się, ponieważ prace modernizacyjne były zapowiedziane przed przerwą techniczną.

    • Dawid, doprawdy? Nikt o zdrowych zmysłach nie zaplanuje takich prac modernizacyjnych na środek dnia.

    • Komunikat z ok 13:30
      Allegro
      przerwa techniczna
      Wiemy, że nie wszystko jest doskonałe, ale pracujemy nad tym.
      Serwis Allegro będzie niedostępny od 16.45 do 18.00.
      Oferty kończące się w tym czasie przedłużamy o 24 godziny.
      Dziękujemy za wyrozumiałość.
      Zespół Allegro

      Jakąś godzinę później zmienili w linijce:
      Serwis Allegro będzie niedostępny od 13.07 do 16.00.

      Teraz jest
      Serwis Allegro będzie niedostępny od 13:07 do 18:00.

      Chyba jednak coś im się sypnęło . Jak były to prace planowe, to bardzo niechlujne – bo nie zamienili komunikatu. Bardziej wygląda to na panikę – wrzucam komunikat (nie patrze co w nim) i naprawiam. Potem – poprawiam komunikat (marketing zadzwonił), a potem poprawiam – przedłużam.
      Zasada admina – nie planuj żadnych modyfikacji w piątek po południu (chyba że musisz). Szkoda weekendu na naprawianie tego, co się może … nie udać.

    • Może przywracają poprzedni interface :D

  46. Sprawdzenie bazy WHOIS http://www.dns.pl/cgi-bin/whois.pl daje informację:
    ostatnia modyfikacja: 2014.06.13 13:20:47
    Więc pewnie ktoś poprawił wpis w rejestrze. Co do włamania do rejestratora – to raczej wątpliwe, ponieważ jak sprawdziliście – abonent był:
    ABONENT:
    firma: Domains Administrator
    Orange Brand Services Limited

    Zestawiając to z : http://www.brand.orange.com/terms_and_conditions.html oraz historią domeny – http://whois.domaintools.com/orange.pl – po uiszczeniu płatności jest dostęp – można wysnuć wnioski:
    Domena orange.pl kiedyś była zarejestrowana w AZ na Centertel:
    DOMAIN: orange.pl
    registrant’s handle: tdc3769265351781 (CORPORATE)
    nameservers: dns.centertel.pl. [194.9.223.79]
    octavius.centertel.pl. [194.9.223.74]
    created: 1999.01.12 12:00:00
    last modified: 2008.12.09 15:16:08

    no option

    TECHNICAL CONTACT:
    company: Network Administrator
    Orange Personal Communications Services Limited
    street: St James Court, Great Park Road, Almondsbury Park
    city: BS32 4QJ Bradley Stoke
    location: UK
    handle: tdc8495745829770
    phone: +44.8703768888
    fax: +44.8703760000
    last modified: 2007.05.16

    REGISTRAR: AZ.pl Sp.J. Albert Jerka, Andrzej Kostrzewa
    ul. Sosnowa 6a
    71-468 Szczecin
    Polska/Poland
    +48.91 4243780

    Po zmianach własnościowych w Telekomunikacji Polskiej S.A:
    http://www.bankier.pl/wiadomosc/TELEKOMUNIKACJA-POLSKA-SA-PTK-Centertel-oraz-spolka-Orange-Brand-Services-Limite-1280317.html
    Centertel zamienił się w Orange – i pewnie wtedy zmienił się abonent domeny z:
    PTK Centertel na:
    Orange Personal Communications Services Limited
    a potem na
    Orange Brand Services Limited
    W ślad za tymi zmianami – pewnie następowały zmiany rekordów DNS. Co w praktyce oznaczało nie tylko zmianę rekordów DNS (name seervery i adresy IP) ale również zmianę właściciela domeny na Orange Brand Services Limited. Nowy właściciel ma własnych pracowników, którzy pewnie mają dostęp do ustawień domeny w panelu rejestratora.
    Ci pracownicy niekoniecznie muszą pracować w dziale IT, równie dobrze mogą to być ludzie z działu administracji, operacyjnego czy działu marketingu.

    Z informacji wynika, że aktualny rejestrator dla domeny orange.pl to firma:
    IP Mirror Pte Ltd
    z którą pewnie współpracuje właściciel abonent domeny, czyli:
    Orange Brand Services Limited.
    Ciekawe – z jakich firm pracownicy mają dostęp do panelu domeny orange.pl?
    I czy dostęp do takich danych dostępowych jest odpowiednio regulowany:
    Orange Polska?
    Orange Brand Services Limited?
    Rejestrator IP Mirror Pte Ltd?

    Z kolei domena: domain-under-dispute.com na którą nastąpiło przekierowanie DNSów jest zarejestrowana u tego samego rejestratora, tj. IP Mirror Pte Ltd. która to firma oferuje usługi #OnlineBrandProtection: http://www.ipmirror.com/online-brand-protection
    Również firma IP Mirror Pte Ltd. jest właścicielem domeny domain-under-dispute.com:
    https://customer.ipmirror.com/cctldbox/showCustExtDomainCheckSearchExternal.action?domainDesc=domain-under-dispute.com&request_locale=en

    Więc może to u nich nastąpił błąd człowieka? Lub błąd w rejestrze?
    I nie ma co winić działu informatyki Orange w Polsce – które prawdopodobnie nie miał wpływu na opisywaną tutaj historię?

  47. Domena orange.com wskazuje na jakąś stronę, ale nie wiem czy to jest strona oficjalna… ?

  48. Wygląda na to, że fałszywe serwery DNS są już też uwalone:

    $ dig -t a @ns1.domain-under-dispute.com orange.pl.

    ; <> DiG 9.9.2-P2 <> -t a @ns1.domain-under-dispute.com orange.pl.
    ; (1 server found)
    ;; global options: +cmd
    ;; connection timed out; no servers could be reached

    $ dig -t a @ns2.domain-under-dispute.com orange.pl.

    ; <> DiG 9.9.2-P2 <> -t a @ns2.domain-under-dispute.com orange.pl.
    ; (1 server found)
    ;; global options: +cmd
    ;; connection timed out; no servers could be reached

  49. Na fejsbooku orange.pl milczało więc ich wprost zapytałem o komentarz do tego artykułu. Odpowiedź jest dość ciekawa:
    Mieliśmy chwilowe problemy ze stroną, ale powoli wszystko powinno wracać do normy.

    “Chwilowe problemy” – to ciekawe, co jest katastrofą :P

  50. U mnie nadal dig czy nslookup nie widzi orange.pl

  51. Możę nie podstawili ale ryzyko przechwycenia haseł do kont pocztowych spore. Gdyby nie niebezpiecznik pewnie bym się o tym nie dowiedział. Klient poczty co jakiś czas odpytuje serwer ale nie zauważyłem żadnego komunikatu o błędzie komunikacji.

    Ciekawe czy Orange poinformuje klientów o incydencie.

    Tak czy inaczej na wszelki wypadek zmiana hasła.

    • Gdybyś łączył się po SSLu z włączoną weryfikacją certyfikatu od razu byś zauważył, że coś jest nie tak.

    • Póki co nie informują, wg informacji z fejsa to są: “problemy ze stroną”, “chwilowe problemy” itp.

      Weekend, pewnie dział PR nie zdążył się skonsultować z “kim trzeba” albo “kto trzeba” jeszcze się nie przebił do PR i dopiero ogarniają problem od tej strony (komunikat sam się nie napisze).

    • Michał, wystarczy korzystać z SSL/TLS i sprawdzać certyfikaty. Po takiej podmianie klient nie przekazałby fałszywemu serwerowi Twoich danych dostępowych, musiałbyś wpierw zaakceptować niepodpisany certyfikat. Oczywiście zakładając, że nie zwędzili od Orange klucza SSL. Ale hasło profilaktycznie warto zmienić :)

    • korzystam z SSL/TLS i dlatego zwróciłem uwagę na to że nie dostałem komunikatu o błędzie.

    • Przecież jak się ma domenę to kupno poprawnego SSL na serwer jest banalne. Nie będzie ostrzeżeń, nie trzeba kluczy wykradać. Trzeba mieć “lewego” paypala lub kartę kredytową do płacenia w necie. Nie sądzę by to był rocket science :)

    • Teoretycznie tak. Może się nie znam, więc mnie śmiało popraw :) to wszystko trwa jakiś czas. TTL w DNS, a do tego po przejęciu domeny taki podstawiony serwer email musi działać przez jakiś czas bez ważnego certyfikatu, bo ten będzie można zakupić dopiero jak TTL wygaśnie w DNSach sprzedawcy certyfikatów.

      Chociaż teraz myślę, że dużo klientów pocztowych utrzymuje permanentne połączenie z serwerem IMAP. Atakujący może też przygotować tak sprytnie atak, że na podmienionych serwerach DNS będzie serwować oryginalne adresy IP z bardzo krótkim TTL, a potem szybko je podmieni i szybko przeprowadzi akcję.

  52. ciekawe co z alledrogo :)

  53. Do mnie miale o MMSach zaczely dochodzic od srody (11.06) i mysle, ze chodzi tu o “zachecanie” ludzi do odwiedzania strony ORANGE bo nic groznego w samym mailu nie ma. Teraz jak strona zostala przekierowana to zaczyna sie wszystko trzymac kupy i nie wyglada to na spor czy piatek 13-go.

  54. Orange is back – dosyc szybko poradzili sobie z sytuacją, aledrogo padlo kolo 14’tej

  55. Dziwne bo wczoraj dostałem SMS o próbie włączenia jakiejś usługi.Tak że nie sadze ze to tylko zwykła podmiana DNS.

  56. U mnie cały dzień było o.

  57. Tak, dzisiaj 14.06 już działa a faktycznie alledrogo wczoraj miało przestój, może to jakaś meksykańska futbolowa fala leci po dnsach ?

  58. Super, że juz sobie poradzili. Szkoda, że cały czas pozwalają na transfer strefy – ktoryś miesiąc z kolei :)
    W kwietniu i maju tylko na jednym serwerze a teraz znów na obu.

    • No! W koncu zabezpieczyli oba serwery. Ktoś to jednak czyta :)

  59. Czy można jakoś pod Linuksem w internecie komórkowym zobaczyć z którego nadajnika BTS się korzysta lub ewentualnie, można samemu zmienić na inny dostępny?

    • G-nettrack na androida, jak chcesz ręcznie wybierać to najlepiej sim kat 15 (niedostępny dla szarego zjadacza chleba, nigdzie nie kupisz, musisz być testerem operatora) + oprogramowanie tems (pocket).

    • Tak, mozna.

    • Czyli na zwykły Linux nie ma jakiegoś programu lub magicznego polecenia które wykryje mi nazwę danego BTS lub podmieni na inny. O ten program chodzi pod Linuksem?

      pocket 1.5-3
      Desktop companion to the Android app of the same name. Securely stores
      all your sensitive data.

  60. Witam,
    Nie na temat, ale warto tu uprzedzić. Zarówno Polsilver jak i Mbank_Konsultant w weekend zostali zdemaskowani, dane pojawiły się na ich forum, reagowali i wykonywali polecenia podprogowe zgodnie z tym co chwile wcześniej pisał niejaki Jarek Masa. Teraz forum nie działa – najprawdopodobniej ma to związek z przymusowym zakończeniem rozpracowywania forumowiczów. Po krótce chodzi o to, że wyżej wspomnieni od początku byli informatorami policji.
    Forum oczywiście może wrócić, ale nie ma prawa odzyskać reputacji.
    Najśmieszniejsze, że Polsilver nie był tym Polsilverem z PBMu, ale innym “zaufanym” to nie przeszkadzało…

    • Zdzisław, nie tak! :-)

  61. O kurka wodna! Dziś wczesnym ranem przepinałem swoje domeny między registarami i przy okazji mieszałem w rekordach DNS… Ale że zaraz takie halo będzie to nie sądziłem, toż ja tylko chciałem IP zmienić pod domenami… a tu zaraz że awaria, że popsuli, że atakowali… no nie… ;(

  62. nie dość, że lipne maile o MMSach na pęczki z domeny orange przychodzą to teraz lipne faktury z UPC się spamują, czyżby też mieli jakiś problem?

  63. Strona działa, ale nadal komenda ping zwraca timeout. Hmm..

    • Od kiedy serwery WWW muszą wspierać ICMP? :)

  64. Ten przykład tylko pokazuje jak łatwo stracic kontrle nad domena a co za tym idzie za cala firma.
    Organizacja ktora zajmuje sie domenami powinna miec te sprawy uregulowne.

  65. Najgorsi sa ludzie, ktorzy czekaja, az domenie konczy sie abonament i wtedy chca kase za wykupienie jej – to jest jakis haracz. Fajnie opisal to egosuper http://www.egosuper.pl/virtualni-zlodzieje-domen/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: