【猜测】土豆网被黑过程
大事件大事件,土豆网被黑了!!!什么?你说你打开正常?咕嘿嘿,这次黑土豆的人做的有点奇葩。下面来说过程。
在某群里听说被黑之后第一件事用nslookup和dig查解析,发现IP是棒子的,果断的从DNS查。
首先土豆网的NS应该是ns1-ns4.tudoudns.com.这4台,发现变成了ns1-ns2.dns.com.cn.和ns3-ns4.tudoudns.com.说明前两条被人改了,既然改成新网互联(dns.com.cn)的就说明此人进了域名管理页面,然后就想起几天前在乌云的一个洞http://www.wooyun.org/bugs/wooyun-2013-023519
说明黑的人首先改掉了前两条的NS,然后自己添加了棒子的A记录解析IP在www.tudou.com上。
这样一来就是一部分人正常一部分人显示黑页了。
目前半小时过去了,使用dig查土豆依然没有修复这个问题。仔细想想都这个点了,估计也没运维在线吧,在线的可能也没那么高权限能去改土豆域名NS的。
运维在线也可能遇到个灵异现象,刚好自己随机到正常的ns记录(后两条)本地又是win,那么nslookup无论如何也看不出异常=_=可能也会很郁闷吧
最后爆个猛料,黑的人可能是这位http://t.qq.com/mibboy在乌云提交了漏洞的。在首页挂着名字,不过也可能是其它知道这洞的人改的。
补充一下从DNSPOD的诊断看NS在5月11日0点(或者之前)就被人改了,只不过TTL太长了到今天晚上才生效
【23:45更新】目测删掉了ns1-ns2.dns.com.cn上面的A记录,请求全部发往土豆的NS,恢复了。
T_T 昨天之前就被改了呀 没有啥监控措施吗 土豆那么大
@Aklis 木有人会想到监控NS记录的
@小新喵 +1土豆(youku)的运维基本上不会太注意ns记录 等记录生效并递归完成后一切都迟了
@千与琥珀
@小新喵 涨知识了
我们这边的dnr服务器默认缓存是24小时 没什么影响 况且n久没去土豆了
此外 就新网这尿性 手工恢复估计得明天吧 ns递归24-72h 况且ttl还是个大问题
@千与琥珀 已恢复,通过删掉A记录可以让解析请求发到另外两台NS上
@小新喵 出奇的快 删记录然后重写也是个不错的方案 不是说有两台是别人在控制? 用爪机看不到记录
@千与琥珀 没有,只是把其中2条改成新网互联的,刚好就在自己控制的域名管理页方便更改。如果改的是自己的NS这事就严重了
@小新喵 像这种情况 要是前两台的ns的控制权完全属于黑客自身 估计有一场ddos大战可看了 虽然这有可能将是一次大断网
@小新喵这就好办多了 dns还算在自己手上 吧前两台记录一清之后 只剩下ttl的问题了
原来前两台是新网的,怪不得 值班客服改这个的权限还是有的
@千与琥珀 新网互联(dns.com.cn)非新网(xinnet)…
@小新喵 一直吧这两个搞混的说
他黑土豆的目的是什麼呢……
我覺得他應該把土豆和優酷裏面視頻的加插廣告給黑掉才對,那太長了
@独星 做不到,只拿到NS管理权能做的事太少了。黑着玩的目测
长知识咯!!!