迷你部落格 » hack http://minidr.com Mini Dragon's Blog Sun, 15 Apr 2012 11:12:01 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 2010年1月12日 百度无法访问的简单分析 http://minidr.com/archives/74 http://minidr.com/archives/74#comments Tue, 12 Jan 2010 08:37:30 +0000 Mini Dragon http://minidr.com/?p=74 2010年1月12日,中国知名网站百度域名被伊朗黑客劫持.

首先我来介绍一下基础知识.

DNS:访问一个网站,我们直接打的是网址,www.baidu.com,但是网络上各个主机的存放只是简单的IP地址,220.181.6.17.我们输入网址后,先要在DNS服务器中查找对应的IP地址,然后DNS把地址返回给浏览器,浏览器直接访问IP地址.转换网址就是DNS服务器的主要功能.

Whois信息:这个信息记录了百度这个域名的提供商,注册日期,到期日期,以及域名转跳,还有域名拥有人的信息.下面就是百度的信息.

Registrant:
 Domain Discreet
 ATTN: baidu.com
 Rua Dr. Brito Camara, n 20, 1
 Funchal, Madeira 9000-039
 PT
 Phone: 1-902-7495331
 Email: *@domaindiscreet.com

 Registrar Name....: Register.com
 Registrar Whois...: whois.register.com
 Registrar Homepage: www.register.com 

 Domain Name: baidu.com
 Created on..............: 1999-10-11
 Expires on..............: 2014-10-11 

 Administrative Contact:
 Domain Discreet
 ATTN: baidu.com
 Rua Dr. Brito Camara, n 20, 1
 Funchal, Madeira 9000-039
 PT
 Phone: 1-902-7495331
 Email: *@domaindiscreet.com

 Technical  Contact:
 Domain Discreet
 ATTN: baidu.com
 Rua Dr. Brito Camara, n 20, 1
 Funchal, Madeira 9000-039
 PT
 Phone: 1-902-7495331
 Email: *@domaindiscreet.com

 DNS Servers:
 ns3.baidu.com
 ns2.baidu.com
 ns4.baidu.com
 dns.baidu.com

这次事情很有可能是域名提供商REGISTER.COM的程序有漏洞,被伊朗黑客入侵,导致百度的DNS服务器和whois信息被强行修改.

早上的时候,这个域名被改到了yahoo的DNS服务器,但是百度给雅虎打招呼了,塞了点钱,雅虎给百度做了一个反向代理,所以在后来访问百度的时候,虽然DNS还是yahoo的,但好歹还能正常访问.之后,黑客把DNS改到hostgator,就出现了那个黑色的页面:这个网页已经被伊朗数字军团黑掉.见图.点击查看大图.

后来,黑客自己的服务器受不了中国网民成千上万的访问量,于是百度就没这么幸运了,直接被指向了127.0.0.1(本地环境).那就是永远的错误.

下面是注册信息.

Registrar: REGISTER.COM, INC.
 Whois Server: whois.register.com
 Referral URL: http://www.register.com
 Status: clientDeleteProhibited, clientRenewProhibited,
clientTransferProhibited, clientUpdateProhibited

 Expiration Date: 2014-10-11
 Creation Date: 1999-10-11
 Last Update Date: 2010-01-11

看起来黑客昨天晚上就下手了,篡改了Whois信息.目前,百度的DNS已经恢复,能够正常访问.REGISTER.COM目前在修复自己的漏洞,所以给baidu.com的域名加了几个状态:

clientUpdateProhibited

//禁止更新这个域名

clientDeleteProhibited

//禁止删除这个域名

clientRenewProhibited

//禁止这个域名续费

clientUpdateProhibited

//不许修改whois信息
以防止事态继续恶化.因为百度损失了大部分都没有了,REGISTER还要赔钱给百度.毛估估至少100W吧.
至于为什么伊朗黑客要劫持DNS?网上有笑谈说伊朗到百度竞价排名的第一的网站中买武器,结果买到的是假冒伪劣产品,一气之下把百度干掉了.而我猜想事实是伊朗不满百度对上个月伊朗暴乱的虚假报道,就从DNS下手把百度干掉了.今天下午我在推特上看到居然有中国红客把伊朗的网站给黑了.唉…不明真相的群众啊…你们上上推再说么.

]]> http://minidr.com/archives/74/feed 3