Domaine webrankinfo.com détourné

[wullon]

Le domaine webrankinfo.com a été "détourné" cette nuit. L'URL http://www.webrankinfo.com/ aboutit maintenant à une page de parking.


Pour information, WebRankInfo est le plus gros site francophone sur le référencement, et abrite probablement la plus grosse communauté de webmasters francophones en terme de membres. Avec un rang Alexa de 2367 (ie, le 2367ième le plus visité au monde d'après Alexa), il se positionne aussi très bien au niveau mondial.

Bref, qu'est-ce qu'il se passe ?

Si on fait un whois du domaine on voit :

   Domain Name: WEBRANKINFO.COM
   Registrar: GODADDY.COM, INC.
   Whois Server: whois.godaddy.com
   Referral URL: http://registrar.godaddy.com
   Name Server: NS3.EASILY.NET
   Name Server: NS4.EASILY.NET
   Status: clientDeleteProhibited
   Status: clientRenewProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
  Updated Date: 04-mar-2008
   Creation Date: 21-mar-2002
   Expiration Date: 21-mar-2017

>>> Last update of whois database: Tue, 04 Mar 2008 22:33:11 UTC <<<

Le domaine a été transféré le 04 Mars à 22:33:11 chez le registrar GoDaddy (il était chez OVH auparavant il me semble), avec de nouveaux DNS en charge du domaine, qui associe (www.)webrankinfo.com à l'IP 69.46.228.166, un serveur de PARKED.COM. L'IP du vrai serveur de webrankinfo est 194.146.226.133.

Il semble que le transfert a pu être fait grâce à un hack de l'adresse email, ce qui donnerait une affaire semblable à celle de davidairey.com : http://forums.webhostdir.com/showthread.php?t=23593 , http://www.davidairey.co.uk/google-gmail-security-hijack/.

C'est clairement ultra-embêtant pour le webmaster de WebRankInfo, car si le nom de domaine est définitivement perdu, même si les données du site sont sauvegardées, il faudra repartir à zéro sur un tout nouveau domaine pour tout ce qui est notoriété, référencement, etc...

J'espère vraiment que ça va s'arranger facilement et rapidement (apparemment pour davidairey.com ça s'est bien passé) - WRI constitue une visite quotidienne personnellement ^^, en attendant je vais sur le chan IRC (#webrankinfo@irc.ircube.org) où j'ai pu avoir quelques infos.
Bonne chance et bon courage au webmaster.

Ca rappelle aussi qu'il faut faire vraiment, vraiment très très gaffe avec les noms de domaines que l'on possède...

edition 06/03/08 : voir les explications officielles
edition 09/03/08 : WRI est de retour .
 

[wullon]

Instructif : http://www.davidairey.co.uk/google-gmail-security-hijack/ (même si je ne sais pas du tout si le hack est similaire ou totalement différent).

[uxmal]

The following filters are applied to all incoming mail:
(rien)

ouf

[ipopus]

Salut,

Ce détournement fais peur  Si webrankinfo se fait détourner alors on va devoir faire attention à nos domaines...

Ce qui m'intéresse surtout c'est d'avoir l'adresse IP du serveur de webrankinfo pour y accéder sans passer par le nom de domaine. Quelqu'un la connait ?

[uxmal]

The estimated value of a single link on www.webrankinfo.com is: $491 /month

If you were to sell 8 links on www.webrankinfo.com, you could generate $3928/month in revenue for your website.

The estimated value of http://www.webrankinfo.com is: $7,508,200

putain de merde

je ne connais pas l'ip originale, mais ça serait une bonne idée effectivement !

[uxmal]

   194.146.226.133

mais forcément sans la résolution du domaine...

[ipopus]

En effet, le serveur ne résoud pas le domaine.

N'y a-t-il pas un autre moyen ?

[ipopus]

Si quelqu'un peut contacter le webmaster,
Il faudrait lui dire qu'il dirige les visiteurs sur le site par défaut lorsqu'on tape son IP.
Si ça fonctionne, on publiera cette IP sur nos sites, et par le bouche à oreille l'infos va se propager très vite.
C'est une solution de secours je pense...

[Zagasty]

En effet le cas semble similaire à celui de David Airey...
Maintenant il reste à savoir si GoDaddy sera manner ou bien va sournoisement garder ce NDD...

J'ai trouvé une petite explication sur la technique qui avait été utilisée pour davidairey.co.uk :

Cette affaire semble très similaire à celle du site davidairey.co.uk, qui lui avait pu récupérer son nom de domaine (source : davidairey.co.uk).
Un hacker avait utilisé une faille dans Gmail pour voler le nom de domaine davidairey.co.uk, site personnel d’un designer très populaire qui attire plusieurs milliers de visiteurs par jour. Comment cela a-t-il pu se produire ?


La manipulation avait été effectuée de cette manière :

1. Le nom de domaine était enregistré via un hébergeur : ICDsoft

2. Le hacker avait contacté l’hébergeur via un ticket sur le support demandant de débloquer le nom de domaine en envoyer le code de transfert EPP correspondant.

3. Le hacker a piraté le compte Gmail de David Airey et a transféré les emails relatifs au transfert du nom de domaine sur sa propre adresse email.

4. Le hacker a transféré le nom de domaine chez GoDaddy sans le consentement de Airey.

5. Et finalement il a redirigé le domaine vers Bebu.net, une page de parking chez Sedo.

Heureusement, Airey fut capable de travailler avec GoDaddy pour récupérer son nom de domaine. Contrairement aux apparences, GoDaddy.com ne serait pas un voleur de domaine agissant dans l’ombre. (Informations recueillies via webhostdir.com)

Source : http://www.fullblog.fr/article-505-le-domaine-webrankinfo-pirate.html


J'espère qu'Olivier Duffez va trouver une solution, sinon ça me ferait vraiment mal pour lui :/

[Lexarino]

Je pense que l'adresse Webrankinfo.fr permettra de sauver le coup temporairement.
L'avantage du .fr c'est qu'il est mieux protégé par les lois françaises et plus difficile à transférer
Des fois la paperasse ça a du bon !

J'ai essayer le .net .biz... rien mais pas squattés donc il est également probable que ceux là soit en la possession d'Olivier Duffez. Pour l'instant seul le .fr semble proposé l'accès au site bien qu'à cette heure il semble que le forum ne réponde pas. J'imagine que ça doit bricoler sec pour "rewritruler" tout le forum et le rendre accessible sur les autres extensions.

Affaire à suivre et qui laisse réfléchir.

[sytrik]

Il existerait une solution qui consiste à court-circuiter la résolution des noms en attendant :

http://www.malekal.com/windows_fichier_host.php#mozTocId200116

Grâce à cette technique, les serveurs DNS ne sont plus interrogés pour récupérer l'adresse ip.

[uxmal]

le pire dans l'histoire c'est que ça tombe sur un forum dédié au référencement, c'est tristement ironique

ça à l'air de bricoler pas mal sur webrankinfo.fr effectivement

j'espère que wri récupérera rapidement son traffic, ça doit faire super mal de tourner à vide vu les frais de serveurs :l

[Dark Toutou]

Ca doit faire mal aussi vu la communauté que c'est...

[ghis]

Du coup il y a des nouveaux membres (temporaires) sur Paradisia wullon, avoues, c'est toi !

[wullon]

Tsss...

Ce qu'il "suffit" de faire comme le précise sutrik, c'est de mettre "194.146.226.133 www.webrankinfo.com" dans son fichiers hosts (C:\WINDOWS\system32\drivers\etc pour Windows, /etc/hosts pour linux me semble), et comme ça on contourne la résolution DNS et zou :p.

Mais ça marche pas (erreur de connexion à la base de données), et c'était comme ça hier soir aussi (ben ouais j'avais testé ^^). Je pense qu'Olivier Duffez se focalise sur la résolution du problème avec les registrars dans un premier temps, avant de penser à une solution de secours .

[Diije]

'Tin les enculés.
Pouvaient pas se contenter de cracker le site pour dessiner des bites dessus ?

[wullon]

Ba tu sais les bites dessinées c'est pas très lucratif. Quoique je dis peut-être une connerie là :p.

[sytrik]

Non seulement c'est pas le premier cas de détournement de domaine, mais il existe des techniques encore plus sadiques à base de virus qui modifient le fichier host de windows pour faire pointer un site sur un autre serveur, certaines banques aux états unis en avaient été les victimes. Pour l'utilisateur aucune différence avec le vrai site de sa banque, l'URL était identique, et pourtant le serveur était celui d'un hacker qui n'avait plus qu'a récupérer les identifiants.

Il me semble qu'il y a même eu des programmes pirates chargés de changer les DNS dans certains modems routeurs.

[wullon]

Ouaip pour le fishing changer les DNS "en local sur la machine" c'est radical et super discret.

Sinon, on peut masquer l'adresse email de contact d'un domaine maintenant non ? Parce que c'est ce qu'il faut faire je crois .

[wullon]

Un article sympa de PapyGeek : améliorer la confidentialité de ses comptes mails.