29/11/2012
Rumuńscy internauci, którzy wczoraj chcieli wejść na lokalne strony Google, Yahoo i Microsoftu, trafiali na podstawione przez atakujących treści serwowane z serwera w Holandii.
DNS hijack
Wczoraj, strony windows.ro, microsoft.ro, google.ro i paypal.ro wyglądały tak:
Atakujący podpisujący się nickiem MCA-CRB to ponoć Algierczyk. Swoimi wyczynami pochwalił się na łamach serwisu zone-h.com.
Jak doszło do ataku?
Podmiana adresów IP, na które wskazywaly domeny, sugeruje albo włamanie na serwery rejestratora domen RoTLD (firma nie udziela żadnych komentarzy w tej sprawie) albo ataki typu DNS cache poisoning (ponoć nie wszyscy Rumuni widzieli podmienione treści, ale wiemy przecież, że aktualizacja rekordów DNS to czasochłonny i nierównomiernie przebiegający proces).
Rejestratora albo rejestru, chyba że to u nich jest razem.
Czemu używacie Internet Explorera ?
To na pewno wirtualna maszyna resetowana przy każdym uruchomieniu.
Parę dni temu w Pakistanie też mieli taką akcję:
http://www.bbc.co.uk/news/technology-20495389
Dziwny zbieg okoliczności… xD