DNSPod詳解百度被黑原因：域名注冊商程序存漏洞

　　國內域名解析服務提供商DNSPod今天中午更新官方博客，就百度無法訪問一事發表分析。DNSPod認為，這次事情很有可能是 REGISTER.COM的程序有漏洞，導致百度的DNS服務器和whois信息被強行修改。(注：資料顯示，REGISTER.COM是 baidu.com的域名注冊商)

　　以下為文章全文：

　　百度無法訪問的簡單分析

　　基于我們的判斷，這次事情很有可能是REGISTER.COM的程序有漏洞，導致百度的DNS服務器和whois信息被強行修改。

　　最初是被改到了yahoo的DNS服務器，但yahoo反應比較快(或者百度公關做得好)，給百度做了一個反向代理，所以在后來訪問百度的時候，雖然 DNS還是yahoo的，但好歹還能正常訪問。之后黑客把DNS改到hostgator后，百度就沒這么幸運了，直接被指向了127.0.0.1。

　　這件事情其實并不是外界所說的，百度的域名到期。要印證這個說法，很簡單。國內知名的域名注冊商萬網的whois查詢程序有一個緩存，具體緩存多長時間我不知道，但肯定不短。通過這個機制，我們可以查看百度出事前的whois緩存，baidu.com最后修改的時間是2008年12月3號，到期日期是 2014年8月11號。而出事后最后修改的時間是2010年的1月11號(非CST)。

　　同時，REGISTER.COM為了避免事態擴大，還給baidu.com的域名加了幾個狀態，clientUpdateProhibited、 clientDeleteProhibited、clientRenewProhibited，直白說這幾個狀態就是禁止更新這個域名、禁止刪除這個域名、禁止這個域名續費。特別是clientUpdateProhibited，加上后這個域名別說DNS，連whois信息都不允許修改。對于通過漏洞來修改域名信息的，這個方法的確能起到一定的作用，至少黑客一時半刻是沒法再改東西了。等REGISTER.COM自身的漏洞修復后，可以把這些狀態再去掉。

　　截圖說明如下：

　　被黑客攻擊前

　　被黑客攻擊后的whois信息

　　至于百度為什么被伊朗黑客盯上，這事還真不清楚。不過這次事情肯定會讓國內的域名注冊商們有話可說：看吧，域名放在國外就是不安全。百度也有可能因為這次事情把域名轉回國內(QQ.COM已經轉回國內了)。然后一批正在往國外轉移域名的站長們又要開始猶豫了。轉，還是不轉?這是個問題

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 百度 漏洞 詳解 域名注冊 DNSPod