本文发布于2017年2月2日 发生在2017年的年初,大过年的搞事情。

关于在上月春节31号发生的一次域名劫持事件。涉及人:西部数码、本博客博主。受害人:chamd5.org。

chamd5.org域名已经转出西部数码,请等待恢复吧。

本次域名劫持发生在了我的朋友身上,朋友在我这里通过我的代理账号注册了域名,这次社工我朋友域名的“黑客”!在春节之前就找过我通过社工代理来修改域名解析。可知这位“黑客”并不知道我和他这次要社工的用户互相认识不可能让他成功。

他随后去找到域名商官方客服下手社工。并且成功社工修改了域名的DNS。在31号中午被修改时候

修改

DNS n3588.ns.yunjiasu.com;n560.ns.yunjiasu.com; 2017-01-31 12:07:25

即时被我的朋友发现通知我域名被修改。

我随后检查是DNS被修改,没有查出非本人的登陆记录。并且查看代理平台相关日志没有异常。

然后我们来看看这位“黑客”分享的社工技术文章。来找一找漏洞。

标题为:“chamd5.org被社利用仅存的一点运气干死她”

这里这位黑客用了“她”不知是指官方客服还是域名拥有者。

发帖地址必须登陆才能查看。我放一个快照出来。此人域名没有续费了无法访问了》快照地址

他首先是通过whois查到是西部购买,并且怀疑是代理商(还知道是代理商看起来很有经验 这都能看出来)。

这里他还夸了我一下,好羞射。我的个人博客地址是公开的很多人都知道,我为了敞开门做生意 肯定会留下联系方式。不过谢谢他没有打电话过来。

用户名他找对了。后面他提到使用收集的信息利用字典爆破我的账号。来看看他截图里的大概密码有哪些。

密码生成器眼熟(想不起来了),并且截图里的工具很像burp。(工具名不懂的自己网查吧)

上图看到“黑客”说爆破出了账号的密码。经过我自己抓包多次检查 他抓到的只是 form 表单的提交数据。西部数码的cookie里是不存储用户和密码的。(我的账号登陆不止一层验证哦)

在看看他使用的字典生成出的密码,仔细看一下他收集到的密码 基本都是 我的名字和手机号。使用我的名字和手机号来爆破我的密码。

我有很多手机号。我用过的密码我自己都不记得有多少种。重要的账号信息我也不会使用自己信息来做密码。对于用户名呢 我很少换 我以后也应该不要都使用同样的。

说到这里该结尾了。看看他最后截图的域名图。

这张图的漏洞也是很大的。DNS是31号中午被修改成“黑客”的DNS的。而在当时的所有者姓名并不是我的。注册日期和到期时间虽然年月日是对的 但是并不是11:22:04 注册和到期。

这段话,我解释一下 域名锁只是一个为了防止所有者误操作的功能项。就解释这么多。

排除登陆修改的可能,我并与官方负责主管取得联系。查询确认本次修改是官方客服的失误。

本篇他的分享故事编的很有头有尾,旁人看似一点都没有漏洞。但是作为域名拥有者 可以 很容易看出 其中的异常。

这里我想说的是 “西部数码的客服长点心吧”。chamd5.org域名已经转出西部数码,请等待恢复吧。