百度宕機事件調(diào)查：注冊商漏洞或成最大禍首

關(guān)于百度DNS遭劫持與百度域名被盜的消息一時間遍布互聯(lián)網(wǎng)，甚至有人稱查詢注冊服務時顯示baidu.com還未被注冊，因此可能是域名被人搶注，隨后百度工作人員發(fā)出了郵件公告，稱百度此次癱瘓事件是因為百度域名遭注冊商非法篡改，以致網(wǎng)站無法正常訪問，目前相關(guān)部門正在積極處理當中。

就此事，中國站長站編輯采訪了Ename易名中國 CEO 孔德菁。

以下為訪談實錄：

百度域名遭劫持 DNS頻繁被修改

孔德菁表示，從DNS信息來看，百度域名從早上至今，被頻繁修改，早前網(wǎng)民無法訪問時，DNS信息為DNS Servers: yns1.yahoo.com yns2.yahoo.com，隨后又變更為DNS Servers:ns2303.hostgator.com ns2304.hostgator.com，之后，DNS信息再次變更回原來的信息：Name Server: NS2.BAIDU.COM Name Server: NS3.BAIDU.COM Name Server: NS4.BAIDU.COM

頻繁的DNS信息變更使得百度網(wǎng)站出現(xiàn)了部分地區(qū)訪問的頁面不同的狀況，甚至也出現(xiàn)了關(guān)于伊朗網(wǎng)絡黑客部隊入侵的頁面。

注冊商漏洞成禍首

從百度的域名注冊信息來看，注冊Email為036f376a0a14115100199c0316d64ebb@domaindiscreet.com 。domaindiscreet.com 是屬于register.com推出的whois管理、托管服務的一個增值服務。按道理來說，百度注冊域名的聯(lián)系人不應當留這個郵件地址。

那么此次百度癱瘓事件極有可能是因為該注冊Email密碼被盜，黑客利用注冊郵箱提交了新的DNS信息，或者Register.com出現(xiàn)漏洞，導致域名被劫持，使得百度訪問出現(xiàn)了頻繁的異常頁面替換。

從幾次的whois歷史信息來看，百度域名到期時間一直都是2014年，所以可以排除，非法轉(zhuǎn)移、到期沒續(xù)費等因素。

根據(jù)baidu.com的Whois變動信息我們看到，在過去的時間內(nèi)，baidu.com有超過上千次的Whois信息變動（部分變動可能因為域名注冊信息隱藏導致無法監(jiān)控到whois信息）。

隨后，孔德菁向編輯提供了百度的相關(guān)Whois信息，根據(jù)ename.cn提供的2009年11月16日的歷史whois顯示的注冊email為：f501770f0a14115100866b2396106c1b@domaindiscreet.com，這與之后的：036f376a0a14115100199c0316d64ebb@domaindiscreet.com 不一樣，這個說明，register提供的服務whois隱藏，他的郵箱是一直在變化的。這樣就不太可能是email被盜引起，絕大部分原因是注冊商系統(tǒng)漏洞所致。

同時國內(nèi)知名的DNS服務商DNSPod 創(chuàng)始人 吳洪聲在其個人博客更新了相關(guān)的博文，就百度宕機時間發(fā)表了自己的看法。

吳洪聲表示，此次宕機事件很有可能是REGISTER.COM的程序有漏洞，導致百度的DNS服務器和whois信息被強行修改。最初是被改到了yahoo的DNS服務器，但yahoo反應比較快（或者百度公關(guān)做得好），給百度做了一個反向代理，所以在后來訪問百度的時候，雖然DNS還是yahoo的，但好歹還能正常訪問。之后黑客把DNS改到hostgator后，百度就沒這么幸運了，直接被指向了127.0.0.1。

被黑客攻擊前的Whois信息，顯示百度不存在到期的問題

攻擊后的Whois信息