站長故事：網(wǎng)站域名被盜的經(jīng)歷

編者按：以下是一個(gè)中國個(gè)人站長域名被盜的經(jīng)歷，大致是因?yàn)樵贕odaddy上使用了與CSDN相同的用戶名和密碼，而因?yàn)镃SDN密碼泄漏，導(dǎo)致Godaddy帳號(hào)被盜，最終使得域名被盜。防止Godaddy域名被盜只要有兩點(diǎn)：Godaddy帳號(hào)和郵箱，Godaddy帳號(hào)使用單獨(dú)的用戶名（不要和其他網(wǎng)站用戶名相同）和強(qiáng)密碼，域名全部鎖定（遷移解鎖會(huì)發(fā)送郵件），郵箱使用安全的郵箱（建議使用Gmail，開啟“兩步驗(yàn)證”功能，全世界目前只有Gmail具有這種手機(jī)動(dòng)態(tài)密碼驗(yàn)證功能，這樣除非Gmail用戶密碼和手機(jī)同時(shí)被盜，否則黑客很難攻破）。而如果Godaddy域名被盜之后，中國用戶與其進(jìn)行交涉就非常麻煩了，以下這個(gè)站長的經(jīng)歷就可見一斑，因此編者轉(zhuǎn)發(fā)此文，以提醒廣大站長保護(hù)好自己的域名。

以下是原文：

眾所周知，域名是一個(gè)網(wǎng)站的根基，就像是大樹的根、大樓下面的地皮，一旦域名被盜，對(duì)于網(wǎng)站的打擊將是毀滅性的。黑客拿到域名的擁有權(quán)之后，便可以將域名解析到他自己的服務(wù)器上，將網(wǎng)站換成一個(gè)掛滿木馬或病毒的頁面，這樣網(wǎng)友一進(jìn)入該頁面就中木馬�；蛘呖梢灾苯訉⒂蛎�跳轉(zhuǎn)到色情網(wǎng)站上，通過該色情網(wǎng)站來獲利，這都是短時(shí)間內(nèi)獲得暴利的辦法。不過他也可以仿制原本的網(wǎng)站，使其界面看起來一模一樣，然后將網(wǎng)站的廣告全換成他自己的，通過廣告來獲得持續(xù)性的利益。總之域名被盜后，原站長就對(duì)自己的網(wǎng)站失去了一切控制權(quán)，就算更換新的域名，網(wǎng)友們?cè)诙虝r(shí)間內(nèi)也很難獲知新的域名地址，換域名之后網(wǎng)站必定元?dú)獯髠�，網(wǎng)站名氣大一點(diǎn)的，可能有一部分網(wǎng)友還會(huì)通過該網(wǎng)站名找過來，名氣小的直接就廢了。

由于缺乏相關(guān)法律保護(hù)，域名被盜之后，唯一的辦法是找域名注冊(cè)商申訴，因?yàn)楣�安局和法院通常都不�?huì)受理。而也沒有任何規(guī)定顯示域名注冊(cè)商必須對(duì)域名被盜負(fù)責(zé)，由于每天接到的申訴過多，域名注冊(cè)商為了避免承擔(dān)不必要的風(fēng)險(xiǎn)，通常都會(huì)拒絕域名注冊(cè)人的申訴，并讓他們?nèi)��?bào)案或去法院訴訟，相互踢皮球。所以說現(xiàn)在域名基本上處于三不管的境地，一旦被盜，能找回來的寥寥無幾，要想保護(hù)域名只能依靠自己。

筆者的個(gè)人網(wǎng)站創(chuàng)立于2005年初，其實(shí)早在2007年2月份域名就曾被盜過。域名是在新網(wǎng)的一家代理商注冊(cè)的，新網(wǎng)是當(dāng)時(shí)國內(nèi)兩大域名注冊(cè)商之一。當(dāng)時(shí)本人已有十幾個(gè)重要的地方需要用到密碼，如QQ、郵箱、服務(wù)器、FTP、網(wǎng)銀等等。由于密碼多了自己也老是忘記，為了記憶方便，我將兩兩不相關(guān)的地方設(shè)置為相同的密碼，例如當(dāng)時(shí)網(wǎng)站主服務(wù)器的登陸密碼，與我域名管理郵箱的密碼相同。這樣做也是為了避免某一處密碼泄露導(dǎo)致所有東西淪陷。誰知道當(dāng)時(shí)那個(gè)黑客入侵了網(wǎng)站服務(wù)器，通過后門程序獲得了網(wǎng)站服務(wù)器的密碼，他或許是拿著這個(gè)密碼將我所有地方都試了一遍，最終郵箱也被盜。之后他再通過這個(gè)域名管理帳戶的密保郵箱，取回了域名管理帳戶的密碼，然后進(jìn)入域名管理平臺(tái)，將域名轉(zhuǎn)出了該代理商的系統(tǒng)，過戶到了他自己的新網(wǎng)帳戶下面，域名的注冊(cè)人名稱和注冊(cè)人郵箱地址也全被改了。后來我通過身份證和部分郵件（用了foxmail，郵件存在了電腦上）向網(wǎng)易申訴，拿回了郵箱，然后再聯(lián)系那家代理商，可是代理商卻說域名已不在他們系統(tǒng)內(nèi)，他們無權(quán)操作，要我聯(lián)系新網(wǎng)。我聯(lián)系了新網(wǎng)，得到的答復(fù)卻是無法受理。后來經(jīng)過多次聯(lián)系，新網(wǎng)那邊終于答應(yīng)受理，但需要那家代理商出具證明，證明該域名是我本人在他們那邊注冊(cè)的。為了取得該證明，我提供了域名注冊(cè)成功的郵件，域名注冊(cè)時(shí)的銀行打款記錄，域名續(xù)費(fèi)時(shí)的打款記錄等等，連同身份證一起發(fā)了過去。經(jīng)過艱難的努力，最終終于拿回來了域名。事后我給新網(wǎng)的楊經(jīng)理發(fā)了封感謝信。

自那之后，我認(rèn)識(shí)到密碼安全的重要性和嚴(yán)重性。我開始使用密碼本保存密碼，每個(gè)地方密碼都不同，但隨著時(shí)間的推移，互聯(lián)網(wǎng)上需要用到密碼的地方越來越多，不可能每個(gè)都使用密碼本保存，每次輸入起來也會(huì)不方便，于是我將密碼分為3個(gè)等級(jí)，最初級(jí)的通常是一些臨時(shí)性的帳號(hào)，例如到某論壇去下個(gè)東西，卻發(fā)現(xiàn)必須登陸，于是隨手注冊(cè)一個(gè)帳號(hào)，這個(gè)帳號(hào)就算被盜對(duì)我沒有任何損失，但這個(gè)地方或許將來我還會(huì)再來，所以這類帳號(hào)我統(tǒng)一用一個(gè)相對(duì)比較簡單又容易記憶的密碼。中級(jí)密碼用在那些我經(jīng)常要去的地方，且這些帳號(hào)即使被盜了也不會(huì)對(duì)我造成太大的損失，或者說我可以通過密保輕松的拿回來，所以這些地方我統(tǒng)一設(shè)置一個(gè)較復(fù)雜的密碼。最高級(jí)別的密碼是那些非常重要的地方，如QQ，郵箱，網(wǎng)銀等等，我每個(gè)都設(shè)置不同的密碼，密碼同時(shí)包含數(shù)字+大小寫字母+特殊符號(hào)，并且經(jīng)常更換，但輸入起來也非常麻煩，如今這類密碼都已經(jīng)有超過50個(gè)了。

2009年國內(nèi)打擊低俗網(wǎng)站，由于低俗沒有明確的標(biāo)準(zhǔn)，當(dāng)時(shí)大批網(wǎng)站被殃及，有些網(wǎng)站的域名甚至直接被域名注冊(cè)商給鎖了，由于域名放在國內(nèi)，只要通信管理局下個(gè)通知給注冊(cè)商，注冊(cè)商就會(huì)把域名HOLD處理，這個(gè)域名就徹底無法使用了，一時(shí)間搞得人心惶惶。為了域名安全，我在那時(shí)將網(wǎng)站的其中一個(gè)域名轉(zhuǎn)移到了美國最大的域名注冊(cè)商GoDaddy。2010年GoDaddy支持了支付寶，付款和續(xù)費(fèi)都更方便了，于是我又陸續(xù)將幾個(gè)未建站的域名轉(zhuǎn)了過去。有一次我試圖修改一下某個(gè)域名的注冊(cè)信息，結(jié)果GoDaddy馬上給我的郵箱發(fā)來驗(yàn)證郵件，要求我回復(fù)該郵件或點(diǎn)擊里面的鏈接，才會(huì)將新的信息更新到域名上，如果我沒回復(fù)也沒點(diǎn)擊鏈接，那么對(duì)域名的修改就會(huì)無效，這封確認(rèn)郵件至今還保存在我的郵箱內(nèi)。正是由于這次的操作，讓我誤以為GoDaddy的安全機(jī)制很好，因此沒有對(duì)我在GoDaddy的帳戶引起重視，我將GoDaddy帳戶的密碼等級(jí)列為了中級(jí)，然后一門心思放在了保護(hù)好郵箱上面。誰也不會(huì)料到將來某天GoDaddy會(huì)取消這種驗(yàn)證機(jī)制。

鑒于之前轉(zhuǎn)入GoDaddy的幾個(gè)域名一直都挺安全，而國內(nèi)的局勢(shì)又比較動(dòng)蕩，經(jīng)常傳聞?dòng)忠�開始嚴(yán)打，于是在2011年我將自己網(wǎng)站的主域名也從新網(wǎng)轉(zhuǎn)到了GoDaddy，至此我的GoDaddy帳戶內(nèi)已經(jīng)有5個(gè)域名了。

大多數(shù)域名被盜的情況可能都是由于域名注冊(cè)郵箱先被盜，繼而導(dǎo)致域名被盜，因此保護(hù)郵箱安全是保證域名安全的最重要的措施。經(jīng)歷第一次域名被盜后，我立即給郵箱上了多重保護(hù)，例如實(shí)名認(rèn)證，捆綁手機(jī)，郵箱改密通知，收到郵件短信通知等等，郵箱密碼我還經(jīng)常換。我想我的安全意識(shí)已經(jīng)夠強(qiáng)了吧，自從2007年之后我密碼本上的那些帳號(hào)還一次都沒有被盜過。沒想到這次會(huì)陰溝里翻船，這一次域名被盜可能是由多方面原因造成的，我自己的疏忽，該黑客的精明，GoDaddy的漏洞以及各種巧合，現(xiàn)在想來，這或許就是命中注定該有此一劫。

2011年底，CSDN等網(wǎng)站發(fā)生密碼泄露，而本人在CSDN上的帳號(hào)和密碼與GoDaddy上的一模一樣。前面說了由于以前的一次修改操作，GoDaddy發(fā)來驗(yàn)證郵件，因此我只將GoDaddy帳戶的密碼等級(jí)列為了中級(jí)，與CSDN等網(wǎng)站采用相同的帳號(hào)密碼。CSDN泄密事件爆出來后，我也沒想到要去改下GoDaddy的帳戶密碼，一方面我以為應(yīng)該不會(huì)有人盯上我，另一方面，在那時(shí)我看來，就算黑客進(jìn)入了我的GoDaddy帳戶，他想改我域名的任何信息都必須經(jīng)過我郵箱的驗(yàn)證，我只要保護(hù)好郵箱，并且不回GoDaddy發(fā)的郵件，不點(diǎn)擊郵件中的任何鏈接，他就盜不走我的域名。

2012年2月22日，我的郵箱中收到了一封來自GoDaddy的郵件，我看了前面幾句意思是說我的帳戶信息被修改了，但沒說具體什么被改了。然后下面大片大片的英文，我猜想可能是GoDaddy的修改驗(yàn)證郵件，只要我不回，不點(diǎn)鏈接肯定沒事，于是我也沒仔細(xì)看。不過考慮到域名安全的重要性，我當(dāng)時(shí)還是立即登陸了一下我的GoDaddy帳戶，很正常的進(jìn)去了，檢查了一下帳戶，沒發(fā)現(xiàn)啥被修改，域名也都還在，域名信息都正確。于是我更加確定那封郵件是來驗(yàn)證修改操作的了，本來想給帳戶換個(gè)密碼，但是GoDaddy的服務(wù)器在美國，我們這邊要打開都很慢，當(dāng)時(shí)點(diǎn)了幾下網(wǎng)頁都給卡死了，于是就放棄了，我想著大不了下次再來改吧，這件事就這么忽略過去了。

通常情況下，網(wǎng)站站長不需要頻繁的登陸域名管理系統(tǒng)，如果不需要對(duì)域名進(jìn)行什么修改的話，長時(shí)間不登陸也很正常。我一般一個(gè)月左右檢查一次GoDaddy帳戶和域名，不過假如去登陸的時(shí)候剛好碰上GoDaddy的網(wǎng)站打不開，那么少檢查一次在我看來也不是什么大事。3月底的時(shí)候我打算再去看一下我的帳戶和域名，可是半天打不開GoDaddy的網(wǎng)站。而自從2月22日之后GoDaddy沒有再給我發(fā)來任何郵件，于是我估計(jì)那個(gè)黑客可能認(rèn)為改不了我任何信息，于是就放棄了吧。我用第三方whois功能查詢了我的所有域名，信息都是正確的，于是這次我雖然沒進(jìn)入到我的GoDaddy帳戶中去，但我認(rèn)為我的帳戶和域名還是安全的。

直到4月16日晚上的時(shí)候，我才無意中發(fā)現(xiàn)我的所有域名已經(jīng)被盜，域名的注冊(cè)人、注冊(cè)郵箱都已全部被改。我立即意識(shí)到出大事了，趕緊登陸GoDaddy帳戶，卻提示密碼錯(cuò)誤。然后使用GoDaddy網(wǎng)站提供的取回密碼功能，卻提示郵箱地址不正確，說明GoDaddy帳戶被盜后，連密保郵箱也已被換了。剛發(fā)現(xiàn)的時(shí)候我都不敢相信自己的眼睛，一直查詢了很多遍，并且在登陸GoDaddy帳戶時(shí)提示了好幾次密碼錯(cuò)誤，我才確認(rèn)域名已被盜。頓時(shí)間我感覺天塌下來一樣，整個(gè)人都呆若木雞了。我實(shí)在想不通該黑客是如何盜走我的域名的，因?yàn)槲业泥]箱內(nèi)自從2月22日之后再?zèng)]收到過GoDaddy的郵件，按照我之前的理解，黑客改我的帳戶信息或域名信息時(shí)，GoDaddy應(yīng)該給我發(fā)送驗(yàn)證郵件的，只有我確認(rèn)過了，修改才能生效。難道是我的郵箱已被盜嗎？我立即登陸郵箱，查詢了郵箱近期登陸記錄，自2月22日開始到現(xiàn)在，所有登陸IP都是我本人的，說明郵箱沒有被盜。而且即使真的郵箱被盜，我手機(jī)肯定會(huì)收到短信通知的。

我查詢了域名的whois信息，發(fā)現(xiàn)我的5個(gè)域名的最后更新時(shí)間（Last Update）都是4月8日，我再查詢域名的whois歷史記錄，5個(gè)域名在4月8日之前的信息都還是我本人的，4月8日之后就都是那個(gè)黑客的了。因此可以確定這5個(gè)域名都是在同一天（4月8日）被過戶的，但該黑客過戶后并沒有更換域名的DNS服務(wù)器，也就是沒有改域名的解析，所以我的網(wǎng)站一直都能正常打開，沒有任何人知道網(wǎng)站的域名已經(jīng)被盜，這也是導(dǎo)致我到4月16日才發(fā)現(xiàn)的原因。

4月16日當(dāng)晚，我百度搜索“godaddy 被盜”，發(fā)現(xiàn)網(wǎng)上已有許多類似的案例。就在前不久，4月1日愚人節(jié)，國內(nèi)著名體育賽事直播網(wǎng)站“直播吧”（zhibo8.com）宣布域名被盜，很多人甚至以為是愚人節(jié)玩笑。黑客已經(jīng)仿制了“直播吧”原網(wǎng)站，并修改了DNS服務(wù)器，黑客在他自己的這個(gè)“直播吧”網(wǎng)站上掛滿了賭球和博彩廣告，而網(wǎng)友們卻還以為是原直播吧的站長掛的廣告，因?yàn)閷?duì)于他們來說這個(gè)“直播吧”網(wǎng)站沒有什么太大變化，只有廣告換了而已。16天過去了，zhibo8.com依然沒有拿回來，看來我的情形也不容樂觀。

現(xiàn)在我的域名被盜了，我必須立即聯(lián)系域名注冊(cè)商GoDaddy，這是拿回域名的唯一途徑，可是我都不知道該如何聯(lián)系他們，GoDaddy網(wǎng)站上提供了電話，可是我英文又不好，打過去也說不上話。后來我找到了“愛晴皇島”的那篇著名的GoDaddy域名被盜找回教程，教程里面說帳戶或域名被盜后15天以內(nèi)為申訴期，在15天內(nèi)聯(lián)系GoDaddy并提交相關(guān)證據(jù)，就能撤消之前的變更。

按照教程里提供的聯(lián)系郵箱地址，4月17日凌晨我給GoDaddy的撤消部門（undo@godaddy.com專門處理域名修改撤消操作的部門）去了第一封郵件，告訴他們我的帳戶和域名在4月8日都被盜了，請(qǐng)求他們幫助我。第2天他們答復(fù)我了，答復(fù)內(nèi)容在我意料之中，但還是令我非常沮喪。他們說任何域名的爭議都應(yīng)由域名仲裁機(jī)構(gòu)或法院來解決，他們作為域名注冊(cè)商無權(quán)處理域名爭議。不過我還注意到他們說了一句關(guān)鍵的話，“由于該變更已發(fā)生太久時(shí)間，我們無法幫助你”。按照教程里說的，15天以內(nèi)是申訴期，我域名8號(hào)被盜，我17號(hào)凌晨（美國當(dāng)?shù)貢r(shí)間應(yīng)該是16號(hào)白天）聯(lián)系他們，才過去8天不到，為什么他們會(huì)說變更已發(fā)生太久呢，我立即回信對(duì)他們解釋。第2封信中我說，“我昨天一發(fā)現(xiàn)域名被盜就立即聯(lián)系了你們，這距離4月8日域名被盜僅僅過去一星期時(shí)間，由于該黑客沒有修改掉域名的DNS服務(wù)器，我的網(wǎng)站至今都能正常訪問，導(dǎo)致我沒有及時(shí)發(fā)現(xiàn)域名被盜。而且，我的郵箱內(nèi)沒有收到任何GoDaddy發(fā)來的通知郵件，否則我將更早發(fā)現(xiàn)被盜。這些域名對(duì)我非常重要，我請(qǐng)求你們幫助我，我有足夠的證據(jù)能證明這些域名都是我的”。由于英文不好，我借助谷歌翻譯和金山詞霸，一字一句的把這些話翻譯成英文，給他們發(fā)過去。第2天，4月19日凌晨他們給我的答復(fù)非常簡練，就一句話，“同前面說的一樣，由于該變更已發(fā)生太久時(shí)間，我們無法幫助你”。

我很不服氣，因?yàn)槲矣X得作為網(wǎng)站的管理者不可能天天沒事去查自己的域名whois信息，天天去登陸域名管理帳戶。假如黑客盜走了域名卻不修改域名DNS，網(wǎng)站的管理者根本很難發(fā)覺域名被盜。我能在8天之內(nèi)發(fā)現(xiàn)被盜，也純屬運(yùn)氣，剛好那天突發(fā)奇想去查一下whois信息，要不然一個(gè)月之后才發(fā)現(xiàn)也很有可能�，F(xiàn)在我在15天的期限內(nèi)聯(lián)系他們，他們?yōu)槭裁匆�拒絕我的申訴呢。于是第3封郵件我略帶質(zhì)問的口氣問他們，為什么我在15天的期限內(nèi)聯(lián)系你們，你們卻不受理。我請(qǐng)求你們對(duì)我的域名展開調(diào)查，我相信我能提供所有的證據(jù)。30分鐘后他們就答復(fù)我了，這次速度是有始以來最快的，但答復(fù)內(nèi)容也是最簡練的：“再次申明，由于該變更已發(fā)生太久時(shí)間，我們無法幫助你”。

由于GoDaddy一直堅(jiān)稱變更已發(fā)生太久時(shí)間，我想我的域名可能在4月8日之前就已被盜。為了了解該黑客盜走域名的全過程，我自己開始展開調(diào)查。我又仔細(xì)的看了2月22日收到的那封郵件，里面寫著我的帳戶信息已被修改了，如果這個(gè)修改不是我本人操作的可以與他們聯(lián)系。英文不好害死人啊，當(dāng)初沒有仔細(xì)看完這封郵件，以為是要我確認(rèn)操作呢，誰知道它只是一封通知郵件，修改已經(jīng)生效了�？墒堑降资裁葱畔⒈桓牧�，這封信里沒說。2月22日我登陸進(jìn)GoDaddy檢查了，沒發(fā)現(xiàn)問題。那是因?yàn)樵摵诳驮谀翘熘恍薷牧藥�戶的密保郵箱，而帳戶密碼，聯(lián)系人信息，和域名等都沒動(dòng)。而密保郵箱在修改密碼頁面上，因此我那天檢查沒有發(fā)現(xiàn)密碼郵箱已經(jīng)被換掉了。

我又去查了域名whois歷史記錄，發(fā)現(xiàn)在3月10日之前的記錄里，52tian.net這個(gè)域名的最后更新時(shí)間（Last Update）都是2011-05-16，也就是我從新網(wǎng)轉(zhuǎn)入到GoDaddy的日期，而3月10日到4月8日這段時(shí)間內(nèi)的記錄顯示最后更新時(shí)間（Last Update）則是3月10日。其他幾個(gè)域名在這段時(shí)間內(nèi)的記錄里，最后更新時(shí)間（Last Update）也全是3月10日，除了這個(gè)日期字段變了以外，其他信息都未發(fā)生變化，都是我本人的信息。由此可以斷定，在3月10日這天該黑客對(duì)我的域名進(jìn)行了一個(gè)操作，這個(gè)操作沒有修改域名的任何信息，但卻使得域名的Last Update字段會(huì)被刷新。因?yàn)槲抑�前將域名從新網(wǎng)轉(zhuǎn)入到GoDaddy后，保持了域名信息不變，但Last Update卻被刷新了。所以可以確定，域名轉(zhuǎn)出注冊(cè)商的操作，可以實(shí)現(xiàn)不改域名的任何信息，但又刷新Last Update。而當(dāng)前我的幾個(gè)域名都還是在GoDaddy，并沒有被轉(zhuǎn)到其他注冊(cè)商去，所以3月10日黑客做的不是轉(zhuǎn)出操作，我猜測(cè)或許是注冊(cè)商內(nèi)部域名過戶操作，也叫域名PUSH。即將域名從一個(gè)域名管理帳戶轉(zhuǎn)給另一個(gè)域名管理帳戶，域名還是停放在GoDaddy，只是被轉(zhuǎn)到不同的帳戶下了。為了驗(yàn)證我的猜想，我特意在GoDaddy重新注冊(cè)了2個(gè)帳戶和1個(gè)域名，然后將該域名從原帳戶過戶到新帳戶，在過戶過程中，有2個(gè)選項(xiàng)，“保持域名信息不變”和“保持域名DNS服務(wù)器不變”，只要勾選了這2個(gè)選項(xiàng)，那么過戶之后域名的任何信息都不會(huì)變，只有Last Update被刷新。由此我可以斷定該黑客在3月10日同一天，將我GoDaddy帳戶內(nèi)的所有域名，過戶到了他自己的帳戶內(nèi)。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]