V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
family
V2EX  ›  问与答

dnspod账户密码被盗,所有域名被增加了一条泛解析,指向色情网站ip。

  •  
  •   family · 2013-11-04 10:28:10 +08:00 · 7696 次点击
    这是一个创建于 4031 天前的主题,其中的信息可能已经有所发展或是发生改变。


    看了操作记录,是ip为 110.86.221.35 的操作者添加,dnspod能否协助查找是否是他们现有用户?以及密码如何破解的?
    29 条回复    1970-01-01 08:00:00 +08:00
    family
        1
    family  
    OP
       2013-11-04 10:34:00 +08:00
    2013-10-31 22:07:12: (110.86.221.35) 修改 CNAME 记录 默认 线路 * 值 a.808kd.com. 为 A 记录 默认 线路 * 值 198.56.210.79 (45367251)
    2013-10-29 09:41:46: (113.80.36.173) 添加 CNAME 记录 默认 线路 * 值 a.808kd.com. (45367251)

    另一个域名
    2013-10-31 22:07:57: (110.86.221.35) 修改 CNAME 记录 默认 线路 * 值 a.808kd.com. 为 A 记录 默认 线路 * 值 198.56.210.79 (45367238)
    2013-10-29 09:41:35: (113.80.36.173) 添加 CNAME 记录 默认 线路 * 值 a.808kd.com. (45367238)

    还是分两次操作的
    SharkIng
        2
    SharkIng  
       2013-11-04 10:34:51 +08:00
    前两天DNSPod专门发邮件提醒大家修改密码来着。
    family
        3
    family  
    OP
       2013-11-04 10:37:15 +08:00
    @SharkIng 难道数据库被人脱了?
    SharkIng
        4
    SharkIng  
       2013-11-04 10:44:08 +08:00
    @family 不确定, 但是他们有提示说有风险提示修改密码
    family
        5
    family  
    OP
       2013-11-04 10:48:55 +08:00
    @SharkIng 微博搜了一下,大批用户账号被盗,都是解析到了色情网站。。。
    family
        6
    family  
    OP
       2013-11-04 10:49:44 +08:00
    猜想是不是内部人员离职,带走了数据库,或者本身有安全漏洞,被脱裤子了。
    @SharkIng
    jasontse
        7
    jasontse  
       2013-11-04 10:53:29 +08:00 via iPad
    @family 被脱裤就搞成这样,难道是传说中的明文密码
    family
        8
    family  
    OP
       2013-11-04 10:58:05 +08:00
    @jasontse 估计是啊,邮箱没收到过重置密码邮件,直接是dnspod账号被盗,操作提示什么的都没有收到,自己百度搜索域名发现一堆泛解析,全部指向色情网站,由于没修改原有记录,所以很难发现。
    jasontse
        9
    jasontse  
       2013-11-04 11:06:08 +08:00 via iPad
    @likexian @naizhao 如果dnspod不出来说明那我就当做默认了,虽然保存明文密码可能是因为某种不可抗力。
    likexian
        10
    likexian  
       2013-11-04 11:14:39 +08:00
    dnspod密码不是明文的,从一开始有dnspod的时候就不是,而是超变态的不可逆摘要算法

    dnspod的在职员工是没有办法拿到数据库的,这是完全物理隔离的,而且就算后台也查看不到全部用户的记录,只能根据账号查询单个账号信息




    而实际情况是每天都有大量的请求过来暴力破解dnspod用户的密码,这些碰撞数据来源于国内一些知名网站的库,相信大家也知道有哪些网站的库人手一份了,如果你的dnspod账号被入侵,那么极有可能是因为同样的邮箱、密码在其它地方使用过,对于此我们加上了监控,异常就封ip,同时也发邮件让用户修改密码,即使如此,仍有大量请求随机地过来,我们没有办法百分百保证能全部拦截这样的暴力破解,所以大家尽量改个复杂点的密码吧,或者开通登录提醒,有异常可以根据邮件、微信里面的链接即时锁定账号。
    DNSPodACT
        11
    DNSPodACT  
       2013-11-04 11:24:16 +08:00
    您好,如同上述人员所说,DNSPod密码是加密的,DNSPod在职员工是无法拿到数据的,也查看不到全部用户信息,阿D跟大家建议:首先虽DNSPod已开启紧急应对措施,但仍需要您的支持与配合:①立刻密码;②开启D令牌;③绑定手机、微信;④收到异地登陆告警,立即锁定账号防止黑客登陆。做好账户、密码安全防护,不要让黑客趁虚而入~
    treo
        12
    treo  
       2013-11-04 11:46:49 +08:00
    可能跟前几天的xss漏洞有关 http://www.wooyun.org/bugs/wooyun-2013-041349
    naizhao
        13
    naizhao  
       2013-11-04 12:01:49 +08:00   ❤️ 3
    1、@treo 和xss没关。没有任何用户收到此xss影响
    2、dnspod的数据库是在隔离带内,除了少数一两个授权的人员,其他人都拿不到,包括我。所有dnspod的程序员开发所接触到的数据都是虚假数据。公司内网、开发环境、线上环境均不存在dnspod的实际运营数据。
    3、dnspod从我开始写第一行代码开始,用户的敏感数据就是加密的,包括密码。而且密码算法是我自己写的,同样一个密码,在存储的时候会有完全不一样的变化。即使拿到加密后的密文,也绝不可能破解或者碰撞出明文的。
    4、网站安全的短板往往不在自身。缺乏安全意识的用户、不安全的第三方网站都会成为泄密的源头。你在dnspod的帐号被登录,首先必须肯定的一点就是:你在dnspod上用的帐号密码和其他网站一样。换句话说,你的银行卡密码你的女朋友知道,即使你的安全意识再高,黑客也可以从你女朋友身上套出密码。同理,dnspod再安全,也没法阻挡别的网站被脱裤。如果你在dnspod上用的密码和被脱裤网站上的一样,那么请你自求多福吧。
    5、关注安全,请不要在dnspod上使用和其他网站一样的帐号、密码。你还可以开启D令牌,在安全上得到彻底的保障。
    6、我个人最早是搞网络安全的。可以说,dnspod在安全方面的重视远远超过别的网站。
    cnxh
        14
    cnxh  
       2013-11-04 12:12:09 +08:00
    @DNSPodACT 登陆可以加个验证码
    lhx2008
        15
    lhx2008  
       2013-11-04 12:32:45 +08:00
    @cnxh +1,不明白为什么这么难。。甚至可以学qq智能出,也不影响用户体验
    princeofwales
        16
    princeofwales  
       2013-11-04 12:38:28 +08:00
    @naizhao @DNSPodACT 非企业用户无法使用D令牌,强烈建议给免费用户和个人用户加上类似的二次验证功能
    lhx2008
        17
    lhx2008  
       2013-11-04 12:39:02 +08:00
    而且如果有很多域名指向同一ip的情况也是可以监测的吧
    family
        18
    family  
    OP
       2013-11-04 12:48:10 +08:00
    @lhx2008 我猜是其它原因导致的账号被盗,如果是别人拿到了库,肯定会不断尝试用户密码,这个dnspod在技术层面肯定可以防止,因为通过微博搜索,这个事情已经发展好多天了。难道dnspod除了奉劝用户保护好密码外做不了其它事情?并且还趁此机会告诉大家:‘看吧,免费版是不安全的,购买收费功能可以保护密码哦?’个人人为不妥。
    wangyue
        19
    wangyue  
       2013-11-04 12:48:53 +08:00
    我的博客域名 http://wangyueblog.com 之前在 DNSPOD 帐号也被盗,同样被添加了一大堆二级域名的泛解析,现在百度 Google 中还收录着。

    我不知道是不是DNSPOD 密码泄露,但是因为我的 godaddy 使用了相同的账户名+密码组合,黑客直接 push 走了我的域名,我用了半个月,花费近2K 才找回。

    最近偷域名的特别多,主要是用二级域名,利用 PR 和排名高的域名和百度算法的漏洞做色情、赌博和娱乐城等网站的排名。

    之前有好几个人联系过我,想买我的二级域名解析权,出价100-150元/天,我没有同意,因为这样搞几个月,站基本就废掉了。没有想到居然直接被盗,不知道这之间是否有什么关联?

    DNSPOD 被盗还不要紧,可以通过找回域名功能找回来,同时加上微信提醒之类的,而一旦域名直接被盗就很麻烦了,亲们要警惕啊。

    相关文章:

    http://wangyueblog.com/2013/10/12/dnspod-domain/
    http://wangyueblog.com/2013/11/01/godaddy-domain/
    chengxiao
        20
    chengxiao  
       2013-11-04 13:16:26 +08:00
    同样遇到了,也是dns被人插入一条* 好像是大前天的事 然后有人跟我反馈 果断改了密码
    感觉可能是 论坛里无良开发者钓鱼试用骗了一大群账号密码
    naizhao
        21
    naizhao  
       2013-11-04 14:57:51 +08:00
    dnspod肯定有防范措施的。对于异常的ip、异常的记录、异常的行为,我们都有监控,并且有相应的处理措施。但不管怎么说,我们做得再多也都是马后炮,最重要的是你们必须设置安全的密码。
    Kvm
        22
    Kvm  
       2013-11-04 16:40:57 +08:00
    @likexian 院长可以提议弄错一次就密码提醒,两次就验证码,三次就邮件验证.

    如果是邮箱被爆了还是被拿下了那就....
    azoon
        23
    azoon  
       2013-11-04 17:56:10 +08:00
    上个星期,我的帐号三更半夜就在浙江被人登录过,我在东莞。。
    早上发现赶紧改密码。启用D令牌。。好在解析没被人动手脚。
    vking
        24
    vking  
       2013-11-04 18:26:17 +08:00 via Android
    想吐槽一句:用独立的16位混合无规律密码会怀孕吗?
    coosir
        25
    coosir  
       2013-11-04 20:40:29 +08:00
    简单的通用密码,和其他网站使用相同密码,密码都很容易被别人试出。
    密码管理一直是个大问题。

    泛域名解析,之前别人都是给我400每天的呀 - -

    然后,为啥那个色情网站的IP打不开 - -
    fangzhzh
        26
    fangzhzh  
       2013-11-04 23:51:26 +08:00
    @coosir
    66beta
        27
    66beta  
       2013-11-05 10:03:27 +08:00
    我也被盗了,其实是因为我密码是以前“大泄漏”时期的,忘记改了~~~
    chens
        28
    chens  
       2013-12-01 21:41:48 +08:00
    今天早上我的dnspod中的域名也出现了意外状况了,和楼主描述略有不同,明天单开一贴详细说说。
    话说,哪些是dnspod官方的人呢?
    xspoco
        29
    xspoco  
       2013-12-02 20:49:18 +08:00
    尊敬的DNSPod用户:
    您的帐号 xxx 于 2013-12-02 06:42:49 在 IP 211.142.236.135 [湖南省株洲市] 上登录。
    如不是您本人所为,请尽快 修改密码,如有任何疑问,请联系我们的技术支持。


    今天看到邮件里有dnspod的异地登陆记录,果然,域名都被添加了* 泛解析



    2013-12-02 06:43:41 应用:m.dnspod.cn: (203.195.182.199) 添加 A 记录 默认 线路 * 值 23.108.47.207 (474703xx)

    2013-12-02 06:43:49 应用:m.dnspod.cn: (203.195.182.199) 添加 A 记录 默认 线路 * 值 23.108.47.108 (474703xx)

    2013-12-02 06:43:26 应用:m.dnspod.cn: (203.195.182.199) 添加 A 记录 默认 线路 * 值 23.108.47.250 (474703xx)

    每个域名的泛解析IP都不一样 貌似
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1315 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 77ms · UTC 17:22 · PVG 01:22 · LAX 09:22 · JFK 12:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.