【紧急公告】2017年5月9日晚间域名DNS被劫持说明(更新细节)
最终经过和Dnspod近一个多月的沟通处理,依然无法根本解决劫持问题,所以无奈我们已经更换DNS服务商。后遗症:
2017年5月25日,我们依然还会收到有用户反馈会短暂出现劫持页面,通过分析绝大多数都是长城宽带,判断是长城宽带的DNS服务器有部分缓存未更新导致(依然解析结果是cname hk13.nw-host.com),一般收到反馈等我们联系的时候现象已经消失,所以如果有同学遇到这样问题,请做一下几步诊断,把对应的结果发送到我们的邮箱service@52pojie.cn,我们还进一步处理:
1、在CMD下输入nslookup -vc www.52pojie.cn,把内容截图保存下来;
2、在CMD下输入ping qdnsdbg.qh-lb.com,把内容截图保存下来(查询解析DNS);
3、访问http://ip.dnspod.cn ,点击“开始检测”,把内容截图保存下来;
4、上面重要的步骤做完,可以用论坛的诊断修复工具诊断一个日志保存下来一并发送给我们http://www.52pojie.cn/thread-209287-1-1.html。
尝试去长城宽带官网http://www.gwbn.net.cn和电话95079进行投诉 ,告知原因访问网址一会就会跳到被劫持页面,投诉的时候然后把本帖地址和上面检测内容也一并加上,方便技术人员排查。
更新进度:
2017年5月10日10:30分,凌晨已经收到腾讯Dnspod初步核查原因并取回了DNS解析权,劫持持续时间在一小时左右,今早官方反馈了攻击细节并诚恳的道歉,大致原因就是小黑通过工单申诉的方式社工了Dnspod客服人员,通过欺骗NS解析域名,将域名所有权转移(我们是VIP用户,目前只有通过工单申诉才可以转移)。
Dnspod官方承诺,审核加强对客户原始联系的核实并用自动化工具进行验证,对涉案人员会进一步跟进处理。
安全是一个整体,一处短版可能就会带来严重的后果,即使出现问题也不可怕,快速解决问题才是关键,提升整体安全性才能更好的保护自己,我们会继续使用Dnspod的服务,共同加强产品的安全性,希望产品会越来越完善。
2017年5月9日晚间22点28分,吾爱的域名被劫持到一个美国IP上(cname hk13.nw-host.com 172.106.139.70),并生成了一个黑页,预计持续时间有个把小时,由于dns的解析有缓存时间,所以会继续持续一段时间。
劫持原因:
论坛域名注册在万网,DNS解析一直用的是Dnspod,这次是Dnspod被人通过漏洞把域名转到其他账号了,导致域名被劫持。我们的Dnspod密码未泄漏,并且域名是VIP域名,系统也禁止直接被转走,小黑通过Dnspod自身问题把域名转走,暂不细说原因,等Dnspod官方处理后再做进一步确认,希望Dnspod能给一个合理的解释。
解决方案:
我们发现Dnspod被劫持后第一时间将DNS转回了万网,由于时间很快,很多人的DNS缓存还未失效,所以一般出现两种情况,第一就是压根没有看到黑页一直正常访问,还有一种就是DNS已经更新但还未更新到最新的DNS上就会看到一会黑页(也有可能是503错误等),解决办法也很简单,大家更新下DNS缓存即可,Windows机器可以在CMD下输入ipconfig /flushdns命令来刷新DNS缓存,然后重启浏览器即可。
重要说明:
1、论坛数据和服务器并没有被入侵。
2、由于域名被劫持了一段时间,所以特别通知大家,今天晚间从22点后登录过论坛的同学尽快修改一下密码,也不能排除小黑劫持域名后做反向代{过}{滤}理来劫持用户密码。
最后还是要感谢热心的会员及时反馈,你们才是维护论坛安全的顶梁柱!
2017年5月10日凌晨 今天晚间从22点后登录过论坛的同学尽快修改一下密码,避免账号被盗风险 {:1_919:} DNS劫持,非常简单,实际原理就是,DNS是解析域名用的,就比如吧www.52pojie.cn解析成IP地址,在读取IP地址上的文件达到访问的网站目地,DNS劫持在现在非常广泛,防不胜防,DNS是用条件来查询IP地址,的如果吧满足DNS设置的条件就会跳到该IP设置的网站上, 沙发。谢谢提醒 厉害了,我的哥。 第一次离H大神这么近,誓与吾爱共存亡! 第N次离H大神这么近,誓与吾爱共存亡!.改密码去吧。。 我和H大竟然就隔着一个人好害羞 QQ登录的怎么破?改密码? 好近好近!第一次这么近!{:1_914:} QQ快捷登录也会有泄漏的风险吗?密码我自己都不知道,都是用QQ登录的