百度被黑技术分析。

bek · 发表于 2010-1-15 04:18:55

攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录，将域名转让到另一团体，通过在修改后注册信息所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，通常那两台服务器都是攻击者预先入侵控制的服务器，并不归攻击者所拥有。

　　那攻击者到底是怎样实施该域名劫持攻击的呢?

　　1.获得要劫持的域名注册信息

　　攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的whois查询功能（http://www.networksolutions.com/whois/index.jsp）,输入要查询的域名,获得该域名注册信息以www.baidu.com为例,我们将获得以下信息:
Registrant:
   Domain Discreet
   ATTN: baidu.com
   Rua Dr. Brito Camara, n 20, 1
   Funchal, Madeira 9000-039
   PT
   Phone: 1-902-7495331
   Email: 036f37850a14115101201f9483195f63@domaindiscreet.com

Registrar Name....: Register.com
Registrar Whois...: whois.register.com
Registrar Homepage: www.register.com

Domain Name: baidu.com
   Created on..............: 1999-10-11
   Expires on..............: 2014-10-11

Administrative Contact:
   Domain Discreet
   ATTN: baidu.com
   Rua Dr. Brito Camara, n 20, 1
   Funchal, Madeira 9000-039
   PT
   Phone: 1-902-7495331
   Email: 036f376a0a14115100199c0316d64ebb@domaindiscreet.com

Technical  Contact:
   Domain Discreet
   ATTN: baidu.com
   Rua Dr. Brito Camara, n 20, 1
   Funchal, Madeira 9000-039
   PT
   Phone: 1-902-7495331
   Email: 036f37860a14115101c8a6d69ced14a8@domaindiscreet.com

DNS Servers:
   ns3.baidu.com
   ns2.baidu.com
   ns4.baidu.com
   dns.baidu.com

The previous information has been obtained either directly from the registrant or a registrar of the domain name other than Network Solutions. Network Solutions, therefore, does not guarantee its accuracy or completeness.

   Show underlying registry data for this record


Current Registrar: REGISTER.COM, INC.
IP Address: 220.181.6.175 (ARIN & RIPE IP search)
IP Location: CN(CHINA)-BEIJING-BEIJING
Record Type: Domain Name
Server Type: Other 1
Lock Status: clientTransferProhibited
WebSite Status: Active
DMOZ  1 listings
Y! Directory:  see listings
Secure: Yes
Ecommerce: No
Traffic Ranking: 4
Data as of: 22-Apr-2008

　　2.控制该管理域名的E-MAIL帐号

　　从上面获得的信息,攻击者可了解到baidu.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号036f37860a14115101c8a6d69ced14a8@domaindiscreet.com控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行入侵攻击.

　　3.修改该域名在网络解决方案公司的注册信息

　　到这个时候，攻击者会使用网络解决方案公司networksolutions修改该域名的注册信息，包括拥有者信息，DNS服务器信息，等等。

　　4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函

　　攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前，把该E-MAIL帐号的信件接收，使用该E-MAIL帐号回复网络解决方案公司进行确认，进行二次回复确认后，将收到网络解决方案公司发来的成功修改注册记录函，攻击者成功劫持域名。

　　5.在新指定的DNS服务器加进该域名记录

　　在注册信息新指定DNS服务器里加进该域名的PTR记录，指向另一IP的服务器，通常那两台服务器都是攻击者预先入侵控制的服务器，并不归攻击者所拥有。

PS：简单的说就是DNS劫持

hjk133 · 发表于 2010-1-15 08:24:27

本帖最后由 hjk133 于 2010-1-15 08:30 编辑

百度被黑，我目前只有2种看法，
第一：被谷歌中国的技术人员搞鬼
第二：百度的自己黑自己。提高自己的知明度，产业潜规则

=========我们论坛的信息？？+++++++++++

The Data in Paycenter's WHOIS database is provided by Paycenterfor information purposes, and to assist persons in obtaininginformation about or related to a domain name registration record.Paycenter does not guarantee its accuracy. By submittinga WHOIS query, you agree that you will use this Data onlyfor lawful purposes and that, under no circumstances will you use this Data to:(1) allow, enable, or otherwise support the transmissionof mass unsolicited, commercial advertising or solicitationsvia e-mail (spam); or(2) enable high volume, automated, electronic processes thatapply to Paycenter or its systems.Paycenter reserves the right to modify these terms at any time.By submitting this query, you agree to abide by this policy.Domain Name : 51gho.comPunnyCode : 51GHO.COMCreation Date : 2009-01-07 15:04:19Updated Date : 2009-01-07 15:04:19Expiration Date : 2011-01-07 15:04:15Registrant: Organization : Yang LiQing Name : Yang LiQing Address : maonan City : MaoMing Province/State : Guangdong Country : CN Postal Code : 525000Administrative Contact: Name : Yang LiQing Organization : Yang LiQing Address : maonan City : MaoMing Province/State : Guangdong Country : CN Postal Code : 525000 Phone Number : 86-0668-2827372 Fax : 86-0668-2827372 Email : 49218961@qq.comTechnical Contact: Name : Yang LiQing Organization : Yang LiQing Address : maonan City : MaoMing Province/State : Guangdong Country : CN Postal Code : 525000 Phone Number : 86-0668-2827372 Fax : 86-0668-2827372 Email : 49218961@qq.comBilling Contact: Name : Yang LiQing Organization : Yang LiQing Address : maonan City : MaoMing Province/State : Guangdong Country : CN Postal Code : 525000 Phone Number : 86-0668-2827372 Fax : 86-0668-2827372 Email : 49218961@qq.com
	The previous information has been obtained either directly from the registrant or a registrar of the domain name other than Network Solutions. Network Solutions, therefore, does not guarantee its accuracy or completeness.

	Show underlying registry data for this record

Current Registrar:		XIN NET TECHNOLOGY CORPORATION
IP Address:		221.235.191.23 (ARIN & RIPE IP search)
IP Location:		CN(CHINA)-BEIJING-BEIJING
Lock Status:		ok
DMOZ		no listings
Y! Directory:		see listings
Data as of:		23-Apr-2008

=============================翻译成为===============
在Paycenter的WHOIS数据库的数据是由Paycenter
供参考，并协助取得人
有关或相关的域名注册记录。
Paycenter不保证其准确性。提交
查询WHOIS查询，您同意将使用这个数据只
为合法目的，而且，
在任何情况下将使用这些数据：
（1）允许，启用，或以其他方式支持传输
群众不请自来的商业广告或招揽
通过电子邮件（垃圾邮件）;或
（2）使大批量，自动化，电子流程
适用于Paycenter或其系统。
Paycenter有权随时修改这些条款。
提交此查询，您同意遵守这一政策。

域名：51gho.com
PunnyCode：51GHO.COM
创建日期：2009年1月7日15点04分十九秒
更新日期：2009年1月7日15时04分十九秒
截止日期：2011年1月7日15时04分一十五秒

注册：
  组织：杨立青
  名称：杨立青
  地址：毛南族
  城市：茂名
  省/州：广东
  国：CN
  邮编：525000

管理联系人：
  名称：杨立青
  组织：杨立青
  地址：毛南族
  城市：茂名
  省/州：广东
  国：CN
  邮编：525000
  电话号码：86-0668-2827372
  传真：86-0668-2827372
  电子邮箱：49218961@qq.com

技术联系方式：
  名称：杨立青
  组织：杨立青
  地址：毛南族
  城市：茂名
  省/州：广东
  国：CN
  邮编：525000
  电话号码：86-0668-2827372
  传真：86-0668-2827372
  电子邮箱：49218961@qq.com

帐单联系方式：
  名称：杨立青
  组织：杨立青
  地址：毛南族
  城市：茂名
  省/州：广东
  国：CN
  邮编：525000
  电话号码：86-0668-2827372
  传真：86-0668-2827372
  电子邮箱：49218961@qq.com

以前已获得的信息可以直接从注册人或域名的网络解决方案比其他注册商。网络解决方案，因此，并不能保证其准确性或完整性。

   显示此记录的基本登录资料



当前注册：鑫网络科技公司
IP地址：221.235.191.23（ARIN管理及网络协调知识产权搜索）
知识产权位置：CN（中国）北京北京
锁定状态：良好
DMOZ没有上市
ý！目录：参见列表
数据为：4月23日2008

		自动登录	找回密码
密码			注册

百度被黑技术分析。

相关帖子