安全提醒:使用 Dnspod 服务的童鞋们,请定期查询自己的域名情况。

2016-12-14 09:39:12 +08:00
 DreamCMS
我有一个双拼 com 中招了,昨晚偶尔访问,竟然发现能打开,而且是色#情#内#容,吓得我一生冷汗,赶紧登录 dn 查看,发现域名不在我的管理下,添加此域名,发现已经被人添加了。

这有两种情况
1 ,我可能因为暂时没用到,被删除过。
2 ,被人恶意的添加到他人管理账号里。

dn 添加域名是这样的,如果设置了它们两组

f1g1ns1.dnspod.net
f1g1ns2.dnspod.net

再去管理添加域名,无需任何验证,就会添加成功,这样势必带来一个问题,自己的域名在 dn 账号删除或未添加,就用让他人添加到,这也是黑产一部分,用来挂佣金链接(黄#赌#)
5146 次点击
所在节点    信息安全
21 条回复
111111111111
2016-12-14 09:42:00 +08:00
所以你不是用 Dnspod 管理域名,为什么把 ns 指向 Dnspod 。。。手动滑稽
wzxjohn
2016-12-14 09:42:19 +08:00
也就是说,你明明没用 dnspod 却设置了 NS 记录,这好像怎么看也是你自己的锅啊。。。
DreamCMS
2016-12-14 09:46:07 +08:00
@111111111111
@wzxjohn

你不明白 手里有三位四位五位数量级的域名级管理的麻烦。还有一点为什么其他万网等为什么不会出现这样的问题,
huluhulu
2016-12-14 09:46:22 +08:00
自己的锅, Dnspod 不背啊。自己设置了 NS ,又忘记在 Dnspod 设置了吧。
dong3580
2016-12-14 09:47:06 +08:00
@wzxjohn
我并不认为这个单独是楼主的锅。

这么看来 do 也有这种情况,之前写测试代码,然后就没用 vps 了,关了。

但是忘记删除 do 设置里面的指向,域名里面指向的 ip 也忘了删。

然后有一天发现,访问那个域名居然到了一个网站,以为域名被盗了。应该也是这种情况了。
DreamCMS
2016-12-14 09:51:54 +08:00
dn 添加域名必须验证,虽然不便,但可以杜绝大多数的恶意行为。
lengxx
2016-12-14 09:54:15 +08:00
dns 服务一般都不验证域名所有权的吧, cloudxns 也是不验证的
lyragosa
2016-12-14 09:57:15 +08:00
别闹,你不把域名的 NS 指向 DNSPOD 的服务器,除非别人把你域名盗了否则没法恶意指向啊……
jasontse
2016-12-14 10:00:02 +08:00
NS 为何要验证授权,不想用你别指过去不就完了。
mrjoel
2016-12-14 10:19:59 +08:00
@DreamCMS 都可以改 NS 了,还要什么验证。
Layne
2016-12-14 10:26:42 +08:00
「手里有三位四位五位数量级的域名」
ys0290
2016-12-14 11:08:54 +08:00
确实有这样的隐患,然而主流域名服务商好像都没有办法解决这个隐患……所以,楼主自己背锅吧
huijiewei
2016-12-14 11:11:18 +08:00
这个只能说是体验提醒

跟安全不搭边
ETiV
2016-12-14 11:15:20 +08:00
咦???

用户 A 拥有域名 abc.com ,想用某 NS 服务;
但在此之前,用户 B 已经在 NS 服务商这里抢先登记了 abc.com 这个域名。
所以用户 A 在修改了 NS 服务器的指向后,因为 B 的抢注,然后就不能用这家 NS 服务商了吗~

这逻辑不对嘛
yangff
2016-12-14 11:26:05 +08:00
0 0 那么 DNS 服务商要怎么验证你是否掌握这个米呢……
在 DNS 记录里添加一个 TXT 段写…… 咦??
dikcen
2016-12-14 11:48:01 +08:00
@ETiV 这也不对啊,如果是 B 先持有这个域名呢, A 是从 B 手上买的或是域名到期后再新买的,验证不能玩全解决这个问题。有冲突应该是发起争议、申诉之类吧。
ETiV
2016-12-14 13:47:49 +08:00
@dikcen 所以 DNSpod 上有检测 NS 服务器设置超时,超时了就把这个域名从账户里删掉(取消关联)。

但是域名 whois 里拿到个注册人、管理人邮箱,用这个来验证,难道很有难度吗……
wzxjohn
2016-12-14 14:02:15 +08:00
@ETiV
@yangff
@dikcen 这种情况是存在的,不要忘了还有 WHOIS 信息。 DNSPOD 当两人同时添加一个域名的时候,第二个人要验证 WHOIS 邮箱确认所有权的。
@dong3580 您说了半天好像坐实了这是楼主的锅啊。。。
@DreamCMS 因为万网不是 DNS 解析服务的提供商,而是域名商顺便提供解析。
J0022ZjV7055oN64
2016-12-14 14:40:57 +08:00
@ETiV A 可以找回
hanmiao
2016-12-14 14:49:42 +08:00
我想说你们是不是想的有点简单?
之前使用 dnspod 正常解析域名,但空间到期了。没怎么管,之后某天有人告诉我你是开黄站的?
我哪有!他说你这个域名就是黄站啊,我看了下。。。。。。。。我去 什么鬼?
之后去 dnspod 看了下域名当时已经提示是变红了(提示未接入)还是什么提示都没有来着,反正当时管理权已经不在我账号上了。赶紧拿域名邮箱找回并挂了单页声明域名解析被盗挂黄网,跟群里人说他们都调戏我说我是开黄网的 233
记不得当时最后的说法是什么 似乎是对方使用 api 拿了我的解析,我刚试着找以前的工单也没找到。反正我之后就换了解析服务商 233

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/327492

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX