Украли домен в зоне .com регистратор Ру центр
 

Здравствуйте
Являюсь вебмастером сайта. Сегодня обнаружил что у домена сменен dns сервера.
Как я понял со слов "администратора домена" был зарегистрирован в руцентре. Сам к сожелению был тока вебмастером к домену (читай к админки регистратора доступа не было, а были у моего коллеги далее по тексту "администратор домена" )
Данные которые есть по whois:

Информация о домене по данным регистратора DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM

по данным WHOIS.VERISIGN-GRS.COM:
Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: XXXXXXXXXXXXXX.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: XXXXXXXXXXXXXX.COM
Name Server: XXXXXXXXXXXXXX.COM
Status: clientTransferProhibited
Updated Date: 11-jun-2010
Creation Date: 28-jun-2006
Expiration Date: 28-jun-2011

XXXXXXXXXXXXXX -инфа скрыта мной

Мысли как украли:
Когда брал этот сайт на обслуживание заметил, что емайл указанные whois ошибочный (незаметно отличался на одну цифру, было например 5 петярек в емайле, стало 6). "Администратору домена" на это указал, но он так не исправил ...
Скорей всего как то связанно с емайлом ...

Что имеем:
1. Первичный емайл регистрации у нас (не мог же администратор зарегить его с ошибочным емайл ,за несколько лет говорит приходили уведомления о продление и т.д)
2. Домен в зоне ком регился на реальные данные владельца (сейчас в whois вася пупкин с несуществующем телефоном)

Интересует у опытных людей:
1. Что такое Status: clientTransferProhibited ? (википеди пишут: запрещен трансфер домена (перевод к другому регистратору). Может это как то помочь вернуть домен ?
2. Тот кто украл подозрительно выкачал предыдущий сайт, и выложил его на своем хостинге (почти не заметно что украли, за исключением битых внешних ссылок и других моментов). Связанно ли с этим что вору нужно время ? (мол не заметили чтобы сейчас владельцы настоящие, и не предприняли никаких действий)
3. Что можно сделать ? Украден прямо перед выходными 12 июля, в ведущем регистраторе страны, как и везде праздник и тех поддержка отвечает, мы не компетенты в этом вопросе и звоните после праздников.

Правильно пишут. Помочь вернуть не может никак - на то она и блокировка трансфера. При ней даже запрос сформировать не получится, не то что перевести домен.

Домен перенесли к другому регистратору. Раз у Вас не было доступа к административному аккаунту, то фактически владельцем домена Вы не являлись, даже если Ваши данные были в Whois. Домен после трансфера вернуть уже невозможно, поскольку фактическим владельцем домена является администратор (без кавычек), тот кто имеет доступ к административному аккаунту у текущего регистратора, он может поменять данные в любую минуту. Не стоит доверять регистрацию доменов третьим лицам. Например, многие делают ощибку, покупая домены у хостеров, а не напрямую у регистраторов. Здесь тоже можно говоорить о том, что домен не принадлежит заказчику в полной мере.

clientTransferProhibited - после переноса 3 месяца нельзя перенести к другому регистратору еще раз. Перенос временно заблокирован.

Доступ "был" у моего коллеги, у него же первичный емайл. То есть он не третье лицо.
Домен был зарегистрирован на владельца бизнеса.
Что значить перенос временно заблокирован ?

Я подумал сначала, что угон как-то связан с администратором. Угнать могли только одним способом - знали пароль к административному аккаунту (чтобы узнать секретный код домена), может быть даже и пароль к почте, на которую первично был зарегистрирован домен. Но скорее всего только от аккаунта, тем более, что Вы заметили отличие в Whois по почте, которую, судя по всему из аккаунта и поменяли.

Чтобы произвести трансфер, нужно во-первых знать секретный код домена, во-вторых владеть почтой, которая прописана в whois. Дальше идет процесс: у нового регистратора запрашивается перенос домена к ним (в Вашем случае от DIRECTI), для этого нужен секретный код. Дальше на почту администратора, которая прописана в Whois приходит подтверждение, требуется подтвердить, что с переносом домена текущий владелец согласен. Как только трансфер подтвержден, домен уходит к новому регистратору и владельцем становится тот, кто заказал перенос. И теперь в течении 3 месяцев стоит статус clientTransferProhibited, то есть нельзя переносить еще к кокому-либо регистратору в течение этого времени. Это обычный чисто технический порядок переноса доменов, он не связан с блокировкой по каким-то иным причинам.

видимо все верно, за исключением что наш регистратор Ру центр, а перевели в Directi (((((
Да вот вопрос как емайл умудрились поменять , что не был в курсе наш администратор... То есть поменяли как понимаю в админке руцентра емайл.

В Вашем случае я имел в виду, что запрос на перенос шел от Directi. емейл поменять могли только из административного контакта. Для этого нужно обладать доступом к нему.

Вообще, обычно, если не производить трансфер своего собственного домена, владелец админки и почты это продавец, а заказывающий перенос - покупатель. Естественно покупатель не может иметь доступ ни к админке, ни к почте админа,
но ему сообщают секретный код. В данном случае очевидно, что к почте админа угонщик не знал пароля, раз вынужден был ее поменять.

ну да получается что первоначально вор получил доступ к админке руцентра, а это мог быть только "свой" человек, так как нужно знать номер договора , ну и пароль (думаю нереально взломать (подобрать пароль) админку незная номера договора в руцентре)

Вполне возможно, что так.

Номер договора, помимо админа, мог знать еще реселлер, если он у Вас есть.

кстати да, был ресселер ..
короче темная история.
спасибо за консультацию