D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Неизвестные злоумышленники «угнали» домен perl[.]com, принадлежащий Тому Кристиансену (Tom Christiansen), который использует его с 1997 года для размещения новостей и статей о языке Perl.
Первым проблему с сайтом на прошлой неделе заметил его редактор Брайан Ди Фой, который написал в Twitter, что домен неожиданно оказался зарегистрирован неизвестным лицом.
Вскоре адвокат Джон Беррихилл, специализирующийся на вопросах интеллектуальной собственности, ответил на этот пост, сообщив, что домен был украден еще в сентябре 2020 года, когда он был связан с регистратором Network Solutions. Затем, во время рождественских праздников, домен был передан регистратору в Китае и, наконец, 27 января 2021 года он перешел к регистратору Key-Systems. Только после этого IP-адрес, назначенный домену, был изменен с 151.101.2.132 на IP-адрес Google Cloud — 35.186.238 [.]101.
В настоящее время посетителей сайта встречает пустая страница, код которой содержит скрипты, характерные для припаркованного домена Godaddy, хотя на самом деле тот зарегистрирован у key-systems[.]net
Ди Фой пишет, что пока контент perl[.]com был временно перенесен на https://perldotcom.perl.org/, и советует пока не использовать perl[.]com в качестве зеркала CPAN.
Также Ди Фой сообщил журналистам издания Bleeping Computer, что учетная запись владельца домена не была взломана, и сейчас эту проблему решают совместно со специалистами Network solutions и Key-Systems:
Интересно, что IP-адрес, который сейчас связан perl[.]com, давно используется в рамках вредоносных кампаний. Так, в 2019 году IP-адрес 35.186.238[.]101 был привязан к домену, распространяющему исполняемый файл для ныне не существующего шифровальщика Locky. А недавно была замечена похожая на рекламный кликер малварь (VirusTotal), использующая управляющие серверы на www.supernetforme[.]com и www.superwebbysearch[.]com , и оба этих домена так же резолвились на 35.186.238[.]101.
Когда малварь пытается подключиться к URL-адресам этих доменов, она получает те же скрипты припаркованных доменов, которые в настоящее время используются на perl[.]com. Хотя эти HTML-ответы не и похожи на инструкции управляющего сервера, они могут свидетельствовать, о том, что данный IP-адрес находится под контролем другого хакера.
Первым проблему с сайтом на прошлой неделе заметил его редактор Брайан Ди Фой, который написал в Twitter, что домен неожиданно оказался зарегистрирован неизвестным лицом.
Вскоре адвокат Джон Беррихилл, специализирующийся на вопросах интеллектуальной собственности, ответил на этот пост, сообщив, что домен был украден еще в сентябре 2020 года, когда он был связан с регистратором Network Solutions. Затем, во время рождественских праздников, домен был передан регистратору в Китае и, наконец, 27 января 2021 года он перешел к регистратору Key-Systems. Только после этого IP-адрес, назначенный домену, был изменен с 151.101.2.132 на IP-адрес Google Cloud — 35.186.238 [.]101.
В настоящее время посетителей сайта встречает пустая страница, код которой содержит скрипты, характерные для припаркованного домена Godaddy, хотя на самом деле тот зарегистрирован у key-systems[.]net
Ди Фой пишет, что пока контент perl[.]com был временно перенесен на https://perldotcom.perl.org/, и советует пока не использовать perl[.]com в качестве зеркала CPAN.
Также Ди Фой сообщил журналистам издания Bleeping Computer, что учетная запись владельца домена не была взломана, и сейчас эту проблему решают совместно со специалистами Network solutions и Key-Systems:
Часть участников дискуссии задалась вопросом, почему разработчик не оплатил домен до истечения сроков его использования. На это ответил Питер Кравчик, отметивший, что доступ к домену должен был пропасть лишь в августе 2029 года. Таким образом, ситуация с perl.com выходит за рамки обыкновенной человеческой невнимательности.
Интересно, что IP-адрес, который сейчас связан perl[.]com, давно используется в рамках вредоносных кампаний. Так, в 2019 году IP-адрес 35.186.238[.]101 был привязан к домену, распространяющему исполняемый файл для ныне не существующего шифровальщика Locky. А недавно была замечена похожая на рекламный кликер малварь (VirusTotal), использующая управляющие серверы на www.supernetforme[.]com и www.superwebbysearch[.]com , и оба этих домена так же резолвились на 35.186.238[.]101.
Когда малварь пытается подключиться к URL-адресам этих доменов, она получает те же скрипты припаркованных доменов, которые в настоящее время используются на perl[.]com. Хотя эти HTML-ответы не и похожи на инструкции управляющего сервера, они могут свидетельствовать, о том, что данный IP-адрес находится под контролем другого хакера.