dnspod账户密码被盗,所有域名被增加了一条泛解析,指向色情网站ip。

2013-11-04 10:28:10 +08:00
 family


看了操作记录,是ip为 110.86.221.35 的操作者添加,dnspod能否协助查找是否是他们现有用户?以及密码如何破解的?
7710 次点击
所在节点    问与答
29 条回复
family
2013-11-04 10:34:00 +08:00
2013-10-31 22:07:12: (110.86.221.35) 修改 CNAME 记录 默认 线路 * 值 a.808kd.com. 为 A 记录 默认 线路 * 值 198.56.210.79 (45367251)
2013-10-29 09:41:46: (113.80.36.173) 添加 CNAME 记录 默认 线路 * 值 a.808kd.com. (45367251)

另一个域名
2013-10-31 22:07:57: (110.86.221.35) 修改 CNAME 记录 默认 线路 * 值 a.808kd.com. 为 A 记录 默认 线路 * 值 198.56.210.79 (45367238)
2013-10-29 09:41:35: (113.80.36.173) 添加 CNAME 记录 默认 线路 * 值 a.808kd.com. (45367238)

还是分两次操作的
SharkIng
2013-11-04 10:34:51 +08:00
前两天DNSPod专门发邮件提醒大家修改密码来着。
family
2013-11-04 10:37:15 +08:00
@SharkIng 难道数据库被人脱了?
SharkIng
2013-11-04 10:44:08 +08:00
@family 不确定, 但是他们有提示说有风险提示修改密码
family
2013-11-04 10:48:55 +08:00
@SharkIng 微博搜了一下,大批用户账号被盗,都是解析到了色情网站。。。
family
2013-11-04 10:49:44 +08:00
猜想是不是内部人员离职,带走了数据库,或者本身有安全漏洞,被脱裤子了。
@SharkIng
jasontse
2013-11-04 10:53:29 +08:00
@family 被脱裤就搞成这样,难道是传说中的明文密码
family
2013-11-04 10:58:05 +08:00
@jasontse 估计是啊,邮箱没收到过重置密码邮件,直接是dnspod账号被盗,操作提示什么的都没有收到,自己百度搜索域名发现一堆泛解析,全部指向色情网站,由于没修改原有记录,所以很难发现。
jasontse
2013-11-04 11:06:08 +08:00
@likexian @naizhao 如果dnspod不出来说明那我就当做默认了,虽然保存明文密码可能是因为某种不可抗力。
likexian
2013-11-04 11:14:39 +08:00
dnspod密码不是明文的,从一开始有dnspod的时候就不是,而是超变态的不可逆摘要算法

dnspod的在职员工是没有办法拿到数据库的,这是完全物理隔离的,而且就算后台也查看不到全部用户的记录,只能根据账号查询单个账号信息




而实际情况是每天都有大量的请求过来暴力破解dnspod用户的密码,这些碰撞数据来源于国内一些知名网站的库,相信大家也知道有哪些网站的库人手一份了,如果你的dnspod账号被入侵,那么极有可能是因为同样的邮箱、密码在其它地方使用过,对于此我们加上了监控,异常就封ip,同时也发邮件让用户修改密码,即使如此,仍有大量请求随机地过来,我们没有办法百分百保证能全部拦截这样的暴力破解,所以大家尽量改个复杂点的密码吧,或者开通登录提醒,有异常可以根据邮件、微信里面的链接即时锁定账号。
DNSPodACT
2013-11-04 11:24:16 +08:00
您好,如同上述人员所说,DNSPod密码是加密的,DNSPod在职员工是无法拿到数据的,也查看不到全部用户信息,阿D跟大家建议:首先虽DNSPod已开启紧急应对措施,但仍需要您的支持与配合:①立刻密码;②开启D令牌;③绑定手机、微信;④收到异地登陆告警,立即锁定账号防止黑客登陆。做好账户、密码安全防护,不要让黑客趁虚而入~
treo
2013-11-04 11:46:49 +08:00
可能跟前几天的xss漏洞有关 http://www.wooyun.org/bugs/wooyun-2013-041349
naizhao
2013-11-04 12:01:49 +08:00
1、@treo 和xss没关。没有任何用户收到此xss影响
2、dnspod的数据库是在隔离带内,除了少数一两个授权的人员,其他人都拿不到,包括我。所有dnspod的程序员开发所接触到的数据都是虚假数据。公司内网、开发环境、线上环境均不存在dnspod的实际运营数据。
3、dnspod从我开始写第一行代码开始,用户的敏感数据就是加密的,包括密码。而且密码算法是我自己写的,同样一个密码,在存储的时候会有完全不一样的变化。即使拿到加密后的密文,也绝不可能破解或者碰撞出明文的。
4、网站安全的短板往往不在自身。缺乏安全意识的用户、不安全的第三方网站都会成为泄密的源头。你在dnspod的帐号被登录,首先必须肯定的一点就是:你在dnspod上用的帐号密码和其他网站一样。换句话说,你的银行卡密码你的女朋友知道,即使你的安全意识再高,黑客也可以从你女朋友身上套出密码。同理,dnspod再安全,也没法阻挡别的网站被脱裤。如果你在dnspod上用的密码和被脱裤网站上的一样,那么请你自求多福吧。
5、关注安全,请不要在dnspod上使用和其他网站一样的帐号、密码。你还可以开启D令牌,在安全上得到彻底的保障。
6、我个人最早是搞网络安全的。可以说,dnspod在安全方面的重视远远超过别的网站。
cnxh
2013-11-04 12:12:09 +08:00
@DNSPodACT 登陆可以加个验证码
lhx2008
2013-11-04 12:32:45 +08:00
@cnxh +1,不明白为什么这么难。。甚至可以学qq智能出,也不影响用户体验
princeofwales
2013-11-04 12:38:28 +08:00
@naizhao @DNSPodACT 非企业用户无法使用D令牌,强烈建议给免费用户和个人用户加上类似的二次验证功能
lhx2008
2013-11-04 12:39:02 +08:00
而且如果有很多域名指向同一ip的情况也是可以监测的吧
family
2013-11-04 12:48:10 +08:00
@lhx2008 我猜是其它原因导致的账号被盗,如果是别人拿到了库,肯定会不断尝试用户密码,这个dnspod在技术层面肯定可以防止,因为通过微博搜索,这个事情已经发展好多天了。难道dnspod除了奉劝用户保护好密码外做不了其它事情?并且还趁此机会告诉大家:‘看吧,免费版是不安全的,购买收费功能可以保护密码哦?’个人人为不妥。
wangyue
2013-11-04 12:48:53 +08:00
我的博客域名 http://wangyueblog.com 之前在 DNSPOD 帐号也被盗,同样被添加了一大堆二级域名的泛解析,现在百度 Google 中还收录着。

我不知道是不是DNSPOD 密码泄露,但是因为我的 godaddy 使用了相同的账户名+密码组合,黑客直接 push 走了我的域名,我用了半个月,花费近2K 才找回。

最近偷域名的特别多,主要是用二级域名,利用 PR 和排名高的域名和百度算法的漏洞做色情、赌博和娱乐城等网站的排名。

之前有好几个人联系过我,想买我的二级域名解析权,出价100-150元/天,我没有同意,因为这样搞几个月,站基本就废掉了。没有想到居然直接被盗,不知道这之间是否有什么关联?

DNSPOD 被盗还不要紧,可以通过找回域名功能找回来,同时加上微信提醒之类的,而一旦域名直接被盗就很麻烦了,亲们要警惕啊。

相关文章:

http://wangyueblog.com/2013/10/12/dnspod-domain/
http://wangyueblog.com/2013/11/01/godaddy-domain/
chengxiao
2013-11-04 13:16:26 +08:00
同样遇到了,也是dns被人插入一条* 好像是大前天的事 然后有人跟我反馈 果断改了密码
感觉可能是 论坛里无良开发者钓鱼试用骗了一大群账号密码

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/87939

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX