建站经验 experience
当前位置:首页 > 网站建设专题 > 建站经验
站长故事:网站域名被盗的经历
发布日期:2012-05-30 阅读次数:982 字体大小:

编者按:以下是一个中国个人站长域名被盗的经历,大致是因为在Godaddy上使用了与CSDN相同的用户名和密码,而因为CSDN密码泄漏,导致Godaddy帐号被盗,最终使得域名被盗。防止Godaddy域名被盗只要有两点:Godaddy帐号和邮箱,Godaddy帐号使用单独的用户名(不要和其他网站用户名相同)和强密码,域名全部锁定(迁移解锁会发送邮件),邮箱使用安全的邮箱(建议使用Gmail,开启“两步验证”功能,全世界目前只有Gmail具有这种手机动态密码验证功能,这样除非Gmail用户密码和手机同时被盗,否则黑客很难攻破)。而如果Godaddy域名被盗之后,中国用户与其进行交涉就非常麻烦了,以下这个站长的经历就可见一斑,因此编者转发此文,以提醒广大站长保护好自己的域名。

以下是原文:

众所周知,域名是一个网站的根基,就像是大树的根、大楼下面的地皮,一旦域名被盗,对于网站的打击将是毁灭性的。黑客拿到域名的拥有权之后,便可以将域名解析到他自己的服务器上,将网站换成一个挂满木马或病毒的页面,这样网友一进入该页面就中木马。或者可以直接将域名跳转到色情网站上,通过该色情网站来获利,这都是短时间内获得暴利的办法。不过他也可以仿制原本的网站,使其界面看起来一模一样,然后将网站的广告全换成他自己的,通过广告来获得持续性的利益。总之域名被盗后,原站长就对自己的网站失去了一切控制权,就算更换新的域名,网友们在短时间内也很难获知新的域名地址,换域名之后网站必定元气大伤,网站名气大一点的,可能有一部分网友还会通过该网站名找过来,名气小的直接就废了。

由于缺乏相关法律保护,域名被盗之后,唯一的办法是找域名注册商申诉,因为公安局和法院通常都不会受理。而也没有任何规定显示域名注册商必须对域名被盗负责,由于每天接到的申诉过多,域名注册商为了避免承担不必要的风险,通常都会拒绝域名注册人的申诉,并让他们去报案或去法院诉讼,相互踢皮球。所以说现在域名基本上处于三不管的境地,一旦被盗,能找回来的寥寥无几,要想保护域名只能依靠自己。

笔者的个人网站创立于2005年初,其实早在2007年2月份域名就曾被盗过。域名是在新网的一家代理商注册的,新网是当时国内两大域名注册商之一。当时本人已有十几个重要的地方需要用到密码,如QQ、邮箱、服务器、FTP、网银等等。由于密码多了自己也老是忘记,为了记忆方便,我将两两不相关的地方设置为相同的密码,例如当时网站主服务器的登陆密码,与我域名管理邮箱的密码相同。这样做也是为了避免某一处密码泄露导致所有东西沦陷。谁知道当时那个黑客入侵了网站服务器,通过后门程序获得了网站服务器的密码,他或许是拿着这个密码将我所有地方都试了一遍,最终邮箱也被盗。之后他再通过这个域名管理帐户的密保邮箱,取回了域名管理帐户的密码,然后进入域名管理平台,将域名转出了该代理商的系统,过户到了他自己的新网帐户下面,域名的注册人名称和注册人邮箱地址也全被改了。后来我通过身份证和部分邮件(用了foxmail,邮件存在了电脑上)向网易申诉,拿回了邮箱,然后再联系那家代理商,可是代理商却说域名已不在他们系统内,他们无权操作,要我联系新网。我联系了新网,得到的答复却是无法受理。后来经过多次联系,新网那边终于答应受理,但需要那家代理商出具证明,证明该域名是我本人在他们那边注册的。为了取得该证明,我提供了域名注册成功的邮件,域名注册时的银行打款记录,域名续费时的打款记录等等,连同身份证一起发了过去。经过艰难的努力,最终终于拿回来了域名。事后我给新网的杨经理发了封感谢信。

自那之后,我认识到密码安全的重要性和严重性。我开始使用密码本保存密码,每个地方密码都不同,但随着时间的推移,互联网上需要用到密码的地方越来越多,不可能每个都使用密码本保存,每次输入起来也会不方便,于是我将密码分为3个等级,最初级的通常是一些临时性的帐号,例如到某论坛去下个东西,却发现必须登陆,于是随手注册一个帐号,这个帐号就算被盗对我没有任何损失,但这个地方或许将来我还会再来,所以这类帐号我统一用一个相对比较简单又容易记忆的密码。中级密码用在那些我经常要去的地方,且这些帐号即使被盗了也不会对我造成太大的损失,或者说我可以通过密保轻松的拿回来,所以这些地方我统一设置一个较复杂的密码。最高级别的密码是那些非常重要的地方,如QQ,邮箱,网银等等,我每个都设置不同的密码,密码同时包含数字+大小写字母+特殊符号,并且经常更换,但输入起来也非常麻烦,如今这类密码都已经有超过50个了。

2009年国内打击低俗网站,由于低俗没有明确的标准,当时大批网站被殃及,有些网站的域名甚至直接被域名注册商给锁了,由于域名放在国内,只要通信管理局下个通知给注册商,注册商就会把域名HOLD处理,这个域名就彻底无法使用了,一时间搞得人心惶惶。为了域名安全,我在那时将网站的其中一个域名转移到了美国最大的域名注册商GoDaddy。2010年GoDaddy支持了支付宝,付款和续费都更方便了,于是我又陆续将几个未建站的域名转了过去。有一次我试图修改一下某个域名的注册信息,结果GoDaddy马上给我的邮箱发来验证邮件,要求我回复该邮件或点击里面的链接,才会将新的信息更新到域名上,如果我没回复也没点击链接,那么对域名的修改就会无效,这封确认邮件至今还保存在我的邮箱内。正是由于这次的操作,让我误以为GoDaddy的安全机制很好,因此没有对我在GoDaddy的帐户引起重视,我将GoDaddy帐户的密码等级列为了中级,然后一门心思放在了保护好邮箱上面。谁也不会料到将来某天GoDaddy会取消这种验证机制。

鉴于之前转入GoDaddy的几个域名一直都挺安全,而国内的局势又比较动荡,经常传闻又要开始严打,于是在2011年我将自己网站的主域名也从新网转到了GoDaddy,至此我的GoDaddy帐户内已经有5个域名了。

大多数域名被盗的情况可能都是由于域名注册邮箱先被盗,继而导致域名被盗,因此保护邮箱安全是保证域名安全的最重要的措施。经历第一次域名被盗后,我立即给邮箱上了多重保护,例如实名认证,捆绑手机,邮箱改密通知,收到邮件短信通知等等,邮箱密码我还经常换。我想我的安全意识已经够强了吧,自从2007年之后我密码本上的那些帐号还一次都没有被盗过。没想到这次会阴沟里翻船,这一次域名被盗可能是由多方面原因造成的,我自己的疏忽,该黑客的精明,GoDaddy的漏洞以及各种巧合,现在想来,这或许就是命中注定该有此一劫。

2011年底,CSDN等网站发生密码泄露,而本人在CSDN上的帐号和密码与GoDaddy上的一模一样。前面说了由于以前的一次修改操作,GoDaddy发来验证邮件,因此我只将GoDaddy帐户的密码等级列为了中级,与CSDN等网站采用相同的帐号密码。CSDN泄密事件爆出来后,我也没想到要去改下GoDaddy的帐户密码,一方面我以为应该不会有人盯上我,另一方面,在那时我看来,就算黑客进入了我的GoDaddy帐户,他想改我域名的任何信息都必须经过我邮箱的验证,我只要保护好邮箱,并且不回GoDaddy发的邮件,不点击邮件中的任何链接,他就盗不走我的域名。

2012年2月22日,我的邮箱中收到了一封来自GoDaddy的邮件,我看了前面几句意思是说我的帐户信息被修改了,但没说具体什么被改了。然后下面大片大片的英文,我猜想可能是GoDaddy的修改验证邮件,只要我不回,不点链接肯定没事,于是我也没仔细看。不过考虑到域名安全的重要性,我当时还是立即登陆了一下我的GoDaddy帐户,很正常的进去了,检查了一下帐户,没发现啥被修改,域名也都还在,域名信息都正确。于是我更加确定那封邮件是来验证修改操作的了,本来想给帐户换个密码,但是GoDaddy的服务器在美国,我们这边要打开都很慢,当时点了几下网页都给卡死了,于是就放弃了,我想着大不了下次再来改吧,这件事就这么忽略过去了。

通常情况下,网站站长不需要频繁的登陆域名管理系统,如果不需要对域名进行什么修改的话,长时间不登陆也很正常。我一般一个月左右检查一次GoDaddy帐户和域名,不过假如去登陆的时候刚好碰上GoDaddy的网站打不开,那么少检查一次在我看来也不是什么大事。3月底的时候我打算再去看一下我的帐户和域名,可是半天打不开GoDaddy的网站。而自从2月22日之后GoDaddy没有再给我发来任何邮件,于是我估计那个黑客可能认为改不了我任何信息,于是就放弃了吧。我用第三方whois功能查询了我的所有域名,信息都是正确的,于是这次我虽然没进入到我的GoDaddy帐户中去,但我认为我的帐户和域名还是安全的。

直到4月16日晚上的时候,我才无意中发现我的所有域名已经被盗,域名的注册人、注册邮箱都已全部被改。我立即意识到出大事了,赶紧登陆GoDaddy帐户,却提示密码错误。然后使用GoDaddy网站提供的取回密码功能,却提示邮箱地址不正确,说明GoDaddy帐户被盗后,连密保邮箱也已被换了。刚发现的时候我都不敢相信自己的眼睛,一直查询了很多遍,并且在登陆GoDaddy帐户时提示了好几次密码错误,我才确认域名已被盗。顿时间我感觉天塌下来一样,整个人都呆若木鸡了。我实在想不通该黑客是如何盗走我的域名的,因为我的邮箱内自从2月22日之后再没收到过GoDaddy的邮件,按照我之前的理解,黑客改我的帐户信息或域名信息时,GoDaddy应该给我发送验证邮件的,只有我确认过了,修改才能生效。难道是我的邮箱已被盗吗?我立即登陆邮箱,查询了邮箱近期登陆记录,自2月22日开始到现在,所有登陆IP都是我本人的,说明邮箱没有被盗。而且即使真的邮箱被盗,我手机肯定会收到短信通知的。

我查询了域名的whois信息,发现我的5个域名的最后更新时间(Last Update)都是4月8日,我再查询域名的whois历史记录,5个域名在4月8日之前的信息都还是我本人的,4月8日之后就都是那个黑客的了。因此可以确定这5个域名都是在同一天(4月8日)被过户的,但该黑客过户后并没有更换域名的DNS服务器,也就是没有改域名的解析,所以我的网站一直都能正常打开,没有任何人知道网站的域名已经被盗,这也是导致我到4月16日才发现的原因。

4月16日当晚,我百度搜索“godaddy 被盗”,发现网上已有许多类似的案例。就在前不久,4月1日愚人节,国内著名体育赛事直播网站“直播吧”(zhibo8.com)宣布域名被盗,很多人甚至以为是愚人节玩笑。黑客已经仿制了“直播吧”原网站,并修改了DNS服务器,黑客在他自己的这个“直播吧”网站上挂满了赌球和博彩广告,而网友们却还以为是原直播吧的站长挂的广告,因为对于他们来说这个“直播吧”网站没有什么太大变化,只有广告换了而已。16天过去了,zhibo8.com依然没有拿回来,看来我的情形也不容乐观。

现在我的域名被盗了,我必须立即联系域名注册商GoDaddy,这是拿回域名的唯一途径,可是我都不知道该如何联系他们,GoDaddy网站上提供了电话,可是我英文又不好,打过去也说不上话。后来我找到了“爱晴皇岛”的那篇著名的GoDaddy域名被盗找回教程,教程里面说帐户或域名被盗后15天以内为申诉期,在15天内联系GoDaddy并提交相关证据,就能撤消之前的变更。

按照教程里提供的联系邮箱地址,4月17日凌晨我给GoDaddy的撤消部门(undo@godaddy.com专门处理域名修改撤消操作的部门)去了第一封邮件,告诉他们我的帐户和域名在4月8日都被盗了,请求他们帮助我。第2天他们答复我了,答复内容在我意料之中,但还是令我非常沮丧。他们说任何域名的争议都应由域名仲裁机构或法院来解决,他们作为域名注册商无权处理域名争议。不过我还注意到他们说了一句关键的话,“由于该变更已发生太久时间,我们无法帮助你”。按照教程里说的,15天以内是申诉期,我域名8号被盗,我17号凌晨(美国当地时间应该是16号白天)联系他们,才过去8天不到,为什么他们会说变更已发生太久呢,我立即回信对他们解释。第2封信中我说,“我昨天一发现域名被盗就立即联系了你们,这距离4月8日域名被盗仅仅过去一星期时间,由于该黑客没有修改掉域名的DNS服务器,我的网站至今都能正常访问,导致我没有及时发现域名被盗。而且,我的邮箱内没有收到任何GoDaddy发来的通知邮件,否则我将更早发现被盗。这些域名对我非常重要,我请求你们帮助我,我有足够的证据能证明这些域名都是我的”。由于英文不好,我借助谷歌翻译和金山词霸,一字一句的把这些话翻译成英文,给他们发过去。第2天,4月19日凌晨他们给我的答复非常简练,就一句话,“同前面说的一样,由于该变更已发生太久时间,我们无法帮助你”。

我很不服气,因为我觉得作为网站的管理者不可能天天没事去查自己的域名whois信息,天天去登陆域名管理帐户。假如黑客盗走了域名却不修改域名DNS,网站的管理者根本很难发觉域名被盗。我能在8天之内发现被盗,也纯属运气,刚好那天突发奇想去查一下whois信息,要不然一个月之后才发现也很有可能。现在我在15天的期限内联系他们,他们为什么要拒绝我的申诉呢。于是第3封邮件我略带质问的口气问他们,为什么我在15天的期限内联系你们,你们却不受理。我请求你们对我的域名展开调查,我相信我能提供所有的证据。30分钟后他们就答复我了,这次速度是有始以来最快的,但答复内容也是最简练的:“再次申明,由于该变更已发生太久时间,我们无法帮助你”。

由于GoDaddy一直坚称变更已发生太久时间,我想我的域名可能在4月8日之前就已被盗。为了了解该黑客盗走域名的全过程,我自己开始展开调查。我又仔细的看了2月22日收到的那封邮件,里面写着我的帐户信息已被修改了,如果这个修改不是我本人操作的可以与他们联系。英文不好害死人啊,当初没有仔细看完这封邮件,以为是要我确认操作呢,谁知道它只是一封通知邮件,修改已经生效了。可是到底什么信息被改了,这封信里没说。2月22日我登陆进GoDaddy检查了,没发现问题。那是因为该黑客在那天只修改了帐户的密保邮箱,而帐户密码,联系人信息,和域名等都没动。而密保邮箱在修改密码页面上,因此我那天检查没有发现密码邮箱已经被换掉了。

我又去查了域名whois历史记录,发现在3月10日之前的记录里,52tian.net这个域名的最后更新时间(Last Update)都是2011-05-16,也就是我从新网转入到GoDaddy的日期,而3月10日到4月8日这段时间内的记录显示最后更新时间(Last Update)则是3月10日。其他几个域名在这段时间内的记录里,最后更新时间(Last Update)也全是3月10日,除了这个日期字段变了以外,其他信息都未发生变化,都是我本人的信息。由此可以断定,在3月10日这天该黑客对我的域名进行了一个操作,这个操作没有修改域名的任何信息,但却使得域名的Last Update字段会被刷新。因为我之前将域名从新网转入到GoDaddy后,保持了域名信息不变,但Last Update却被刷新了。所以可以确定,域名转出注册商的操作,可以实现不改域名的任何信息,但又刷新Last Update。而当前我的几个域名都还是在GoDaddy,并没有被转到其他注册商去,所以3月10日黑客做的不是转出操作,我猜测或许是注册商内部域名过户操作,也叫域名PUSH。即将域名从一个域名管理帐户转给另一个域名管理帐户,域名还是停放在GoDaddy,只是被转到不同的帐户下了。为了验证我的猜想,我特意在GoDaddy重新注册了2个帐户和1个域名,然后将该域名从原帐户过户到新帐户,在过户过程中,有2个选项,“保持域名信息不变”和“保持域名DNS服务器不变”,只要勾选了这2个选项,那么过户之后域名的任何信息都不会变,只有Last Update被刷新。由此我可以断定该黑客在3月10日同一天,将我GoDaddy帐户内的所有域名,过户到了他自己的帐户内。