在dnspod上解析的域名也能被劫持?

最近才发现在 dnspod 解析的域名,也能被「劫持」。开始还以为是不是自己把域名服务器设定为 dnspod 之后忘记做解析了被恶人利用,通过日志分析确定最开始 2013-10-06 那个 app 的主机是自己作的解析。此后的 2013-12-11、2014-06-02、2014-06-09、2014-07-06 这4个日期以 *.lhc(原来是六合彩), *.tm(所谓的特码) 等泛域主机分别被解析到 103.241.48.93、23.244.86.6、23.244.86.2、104.149.12.235 等 IP 地址上,直到 2014-09-08 暂停了解析,应该是官方发现了漏洞?昨天做了取回操作,还要回到域名注册商那里改掉 DNS 先做一次 TXT 类别域名验证解析才取回来。

2016-03-24 13:31:05: (124.127.37.179) 删除记录 A 记录 默认 线路 *.www 值 104.149.12.235 (48111956) 
2016-03-24 13:10:54: (124.127.37.179) 添加 CNAME 记录 默认 线路 * 值 94636.com. (172859095)
2016-03-24 13:10:22: (124.127.37.179) 添加 CNAME 记录 默认 线路 @ 值 xinen.com. (172858639)
2016-03-24 13:08:38: (124.127.37.179) 删除记录 A 记录 默认 线路 @ 值 184.82.227.241 (43882652)
2016-03-24 13:08:36: (124.127.37.179) 删除记录 A 记录 默认 线路 * 值 98.126.248.172 (43954475)
2016-03-24 13:08:31: (124.127.37.179) 删除记录 A 记录 默认 线路 *.tm 值 104.149.12.235 (47987329) 2016-03-24 13:08:28: (124.127.37.179) 删除记录 A 记录 默认 线路 *.lhc 值 104.149.12.235 (47987328) 
2016-03-24 13:08:23: (124.127.37.179) 删除记录 CNAME 记录 默认 线路 www 值 94636.com. (43882650)
2016-03-24 13:08:19: (124.127.37.179) 删除记录 A 记录 默认 线路 app 值 184.82.227.241 (43882651)
2016-03-23 19:57:01: 被 i@lxl.cn 通过验证TXT记录成功执行域名取回
2016-03-23 18:01:29: (124.127.37.179) 94636.com 被 i@lxl.cn 申请了域名取回,验证邮件发至域名的 WHOIS 邮箱 yanghua@xinentech.com
2016-03-23 17:48:04: (124.127.37.179) 94636.com 被 i@lxl.cn 申请了域名取回,验证邮件发至域名的 WHOIS 邮箱 yanghua@xinentech.com
2015-03-08 09:40:01 系统扫描到94636.com的注册到期时间是2016-03-23, 并且已经进行了修改
2014-09-26 12:49:32: (27.149.225.174) 修改 A 记录 默认 线路 * 值 172.246.221.56 为 A 记录 默认 线路 * 值 98.126.248.172 (43954475)
2014-09-08 20:56:35: (27.149.231.212) 暂停解析 A 记录 默认 线路 *.lhc 值 104.149.12.235 (enabled) (47987328) 2014-09-08 20:56:35: (27.149.231.212) 暂停解析 A 记录 默认 线路 *.tm 值 104.149.12.235 (enabled) (47987329) 2014-09-08 20:56:34: (27.149.231.212) 暂停解析 A 记录 默认 线路 *.www 值 104.149.12.235 (enabled) (48111956) 
2014-09-08 20:56:34: (27.149.231.212) 修改 A 记录 默认 线路 * 值 104.149.12.235 为 A 记录 默认 线路 * 值 172.246.221.56 (43954475)
2014-07-06 22:42:16: (27.149.153.213) 修改 A 记录 默认 线路 *.lhc 值 23.244.86.2 为 A 记录 默认 线路 *.lhc 值 104.149.12.235 (47987328) 2014-07-06 22:42:16: (27.149.153.213) 修改 A 记录 默认 线路 *.tm 值 23.244.86.2 为 A 记录 默认 线路 *.tm 值 104.149.12.235 (47987329) 2014-07-06 22:42:15: (27.149.153.213) 修改 A 记录 默认 线路 *.www 值 23.244.86.2 为 A 记录 默认 线路 *.www 值 104.149.12.235 (48111956) 
2014-07-06 22:42:15: (27.149.153.213) 修改 A 记录 默认 线路 * 值 23.244.86.2 为 A 记录 默认 线路 * 值 104.149.12.235 (43954475)
2014-06-09 01:41:27: (27.149.155.181) 修改 A 记录 默认 线路 *.lhc 值 23.244.86.6 为 A 记录 默认 线路 *.lhc 值 23.244.86.2 (47987328) 2014-06-09 01:41:27: (27.149.155.181) 修改 A 记录 默认 线路 *.tm 值 23.244.86.6 为 A 记录 默认 线路 *.tm 值 23.244.86.2 (47987329) 2014-06-09 01:41:27: (27.149.155.181) 修改 A 记录 默认 线路 *.www 值 23.244.86.6 为 A 记录 默认 线路 *.www 值 23.244.86.2 (48111956) 
2014-06-09 01:41:26: (27.149.155.181) 修改 A 记录 默认 线路 * 值 23.244.86.6 为 A 记录 默认 线路 * 值 23.244.86.2 (43954475)
2014-06-02 22:08:40: (27.149.145.76) 修改 A 记录 默认 线路 *.lhc 值 103.241.48.93 为 A 记录 默认 线路 *.lhc 值 23.244.86.6 (47987328) 2014-06-02 22:08:40: (27.149.145.76) 修改 A 记录 默认 线路 *.tm 值 103.241.48.93 为 A 记录 默认 线路 *.tm 值 23.244.86.6 (47987329) 2014-06-02 22:08:39: (27.149.145.76) 修改 A 记录 默认 线路 *.www 值 103.241.48.93 为 A 记录 默认 线路 *.www 值 23.244.86.6 (48111956) 
2014-06-02 22:08:39: (27.149.145.76) 修改 A 记录 默认 线路 * 值 202.77.182.192 为 A 记录 默认 线路 * 值 23.244.86.6 (43954475)
6
2014-04-23 12:16:07 系统扫描到94636.com的注册到期时间是2015-03-23, 并且已经进行了修改
2014-03-07 01:50:25 系统扫描到94636.com的注册到期时间是2015-03-23, 并且已经进行了修改
2013-12-13 18:51:37: (110.86.197.144) 添加 A 记录 默认 线路 *.www 值 103.241.48.93 (48111956) 2013-12-11 14:47:28: (110.86.253.121) 添加 A 记录 默认 线路 *.tm 值 103.241.48.93 (47987329) 2013-12-11 14:47:28: (110.86.253.121) 添加 A 记录 默认 线路 *.lhc 值 103.241.48.93 (47987328) 
2013-10-07 18:21:47: (27.149.128.173) 添加 A 记录 默认 线路 * 值 202.77.182.192 (43954475)
2013-10-07 01:28:19 系统扫描到94636.com的注册到期时间是2014-03-23, 并且已经进行了修改
2013-10-06 16:54:57: (140.243.61.127) 添加 A 记录 默认 线路 @ 值 184.82.227.241 (43882652)
2013-10-06 16:54:57: (140.243.61.127) 添加 A 记录 默认 线路 app 值 184.82.227.241 (43882651) 
2013-10-06 16:54:57: (140.243.61.127) 添加 CNAME 记录 默认 线路 www 值 94636.com. (43882650)
2013-10-06 16:54:04: (140.243.61.127) 添加新域名 94636.com wwwnow18cn@163.com(816634)

「更新」
有朋友说是不是账号密码泄露了,答案是否定的,不是。经过和腾讯 dnspod 部门的人沟通,发现了问题的来龙去脉。第一次 2013-10-06 把 94636.com 加入 dnspod 的邮箱 wwwnow18cn@163.com 应该为黑客持有,而我可能在那之前在域名注册商那将域名的 dns 服务器指向了 dnspod,但是我并没有在 dnspod 上即时添加,而黑客会定期扫描域名,发现一量旦有人将域名指向了 dnspod 做解析的域名,就会试图通过添加到他的账号下,这个是 dnspod API 实现的还是人工的都不关键了。后面直到 2016-03-23 我认证取回前,解析权其实都在黑客手里。据说黑客还会将根本未注册的域名,添加到自己的账号下,当有人注册域名,恰好把域名解析服务器设置为 dnspod 时,就会自动上钩。

Leave a Reply