【猜测】土豆网被黑过程

大事件大事件,土豆网被黑了!!!什么?你说你打开正常?咕嘿嘿,这次黑土豆的人做的有点奇葩。下面来说过程。

在某群里听说被黑之后第一件事用nslookup和dig查解析,发现IP是棒子的,果断的从DNS查。

首先土豆网的NS应该是ns1-ns4.tudoudns.com.这4台,发现变成了ns1-ns2.dns.com.cn.和ns3-ns4.tudoudns.com.说明前两条被人改了,既然改成新网互联(dns.com.cn)的就说明此人进了域名管理页面,然后就想起几天前在乌云的一个洞http://www.wooyun.org/bugs/wooyun-2013-023519

说明黑的人首先改掉了前两条的NS,然后自己添加了棒子的A记录解析IP在www.tudou.com上。

这样一来就是一部分人正常一部分人显示黑页了。

目前半小时过去了,使用dig查土豆依然没有修复这个问题。仔细想想都这个点了,估计也没运维在线吧,在线的可能也没那么高权限能去改土豆域名NS的。

运维在线也可能遇到个灵异现象,刚好自己随机到正常的ns记录(后两条)本地又是win,那么nslookup无论如何也看不出异常=_=可能也会很郁闷吧

最后爆个猛料,黑的人可能是这位http://t.qq.com/mibboy在乌云提交了漏洞的。在首页挂着名字,不过也可能是其它知道这洞的人改的。

补充一下从DNSPOD的诊断看NS在5月11日0点(或者之前)就被人改了,只不过TTL太长了到今天晚上才生效

【23:45更新】目测删掉了ns1-ns2.dns.com.cn上面的A记录,请求全部发往土豆的NS,恢复了。

【猜测】土豆网被黑过程 有 16 个评论

  1. 我们这边的dnr服务器默认缓存是24小时 没什么影响 况且n久没去土豆了
    此外 就新网这尿性 手工恢复估计得明天吧 ns递归24-72h 况且ttl还是个大问题

  2. 他黑土豆的目的是什麼呢……

    我覺得他應該把土豆和優酷裏面視頻的加插廣告給黑掉才對,那太長了

发表评论

电子邮件地址不会被公开。 必填项已用*标注