该网站的域名被盗

大家好，我是（真正的）Chris Coyier。 我在 GoDaddy 上注册了 css-tricks.com。 最近我发现，该域名的所有权已从我转移到 PlanetDomain。 幸运的是，目前域名服务器仍然指向 MediaTemple，因此网站仍然可以访问。 这随时可能改变。

我会密切关注此事。

事件时间线

2011年11月13日星期日

黑客获得了我的 GoDaddy 帐户和 GMail 帐户的访问权限。 他启动了将域名从 GoDaddy 转移出去的操作：解锁域名，更改注册信息，将请求提交到 PlanetDomain。 这些操作可能会生成电子邮件，但我没有收到任何邮件。 很可能黑客从我的 GMail 帐户中删除了这些邮件。

奇怪的是：我的 GoDaddy 帐户密码从未更改过，而且这个密码也不存在于我的 GMail 帐户中。 他是怎么进来的？

2011年11月14日星期一

我醒来后无法登录 GMail。 我通过手机验证重置了密码（我仍然保留着这条短信和它的截图）。 老实说，当时我没有多想。 我想到了几个合理的解释，然后继续我的日常工作。

问题：黑客是通过重置密码获得了我的 GMail 帐户的访问权限，还是他通过其他方式获得了访问权限，然后重置了密码来尝试锁住我。

2011年11月20日星期日

在当天下午，域名从 GoDaddy 转移到 PlanetDomain。 黑客再次获得了我的 GMail 的访问权限，获得了必要的电子邮件并获得了转移验证代码，然后删除了这些邮件，因此我从未看到过它们。 他再次更改了 GMail 帐户的密码。

在同一天晚上，我的网站遭受了轻微的黑客攻击。 VaultPress 发现了它。 在我的根目录下的 index.php 文件（影响整个 WordPress）中，添加了一个指向 8oc.com 的链接。 后来我发现，Kirupa Chinnathambi 的 kirupa.com 也发生了同样的事情。

糟糕：这意味着黑客也访问了我的 MediaTemple 主机吗？ FTP 访问？ 帐户中心访问？ 这些密码都没有更改。

2011年11月21日星期一

我醒来后再次被锁在 GMail 帐户之外。 再次通过手机验证代码重置了密码。 再次，愚蠢地，我没有多想。（认为我的 1Password 不同步了）。

糟糕：这意味着黑客可以随时重置我的 GMail 密码吗？ 我现在启用了双重身份验证，希望这可以防止将来发生这种情况。 我 GMail 的密码一直都是独一无二且复杂的。

2011年12月2日星期五

我发现这一切的那天。

上午7:30 – 我从 David Appleyard 的电子邮件中得知了这一切。 我立刻就想到了 David Walsh，他也遇到了这种情况。 instantshift.com 和 sohtanka.com 也遇到了这种情况。 我们都没有共享 GoDaddy 主机帐户。 这些都是独立的事件。 重要的是要注意：我没有收到任何电子邮件或电话来验证此域名的转移。 我的 GoDaddy 帐户中的电子邮件地址没有更改。

上午7:45 – 拨打了 GoDaddy 支持电话 (480) 505-8877。 他们没有提供帮助。 他们告诉我只需发送电子邮件到 [email protected]（我立即照做了）。

上午8:06 – 我在 Twitter 上发布了关于此问题的推文。 GoDaddy 发来私信，让我填写一份表格，但该表格是 404 页面。

星期五上午8:30 – 我得到了指向域名争议表格的正确链接，并填写了它。 这包括我的驾驶执照扫描件。 网站上写着 初始回复需要 3 天。 我希望能够更快地得到回复。

上午9:00 – 我去上了我的班卓琴课，因为至少没有人可以把它从我身边夺走。

上午10:10 – 尝试联系 PlanetDomain（只是假设这就是他们）。 他们似乎没有活跃的 Twitter 帐户。 现在只是通过联系表格发送电子邮件。

上午10:15 – 收到了来自 GoDaddy 的通用电子邮件

上午11:50 – 刚刚和 GoDaddy 通完电话（Tony 负责域名争议，Alon 负责客户服务，我认为）。 目前的状态是，他们已经向 PlanetDomain 发送了请求，下一步是等待他们进行尽职调查，并回复 GoDaddy 关于他们是否会归还域名的决定。 这可能需要几天或一个星期的时间（因为是星期五，很可能要到下周初才能得到回复）。 关于 GoDaddy 的其他事实

• 到目前为止，他们发现大约 12 个帐户遇到了这种情况，所有这些帐户都属于“网页设计”类别（因此很可能是一次有针对性的攻击）。
• 没有可以访问的日志，可以查看 GoDaddy 帐户中发生了什么/什么时候发生。
• 他们确实有访问日志，但他们不能与我共享这些信息。
• 域名于 11 月 20 日晚上从 GoDaddy 转移出去。
• 他们有，但不能提供给我，用于转移域名的电子邮件地址。
• GoDaddy 确认我的全局帐户电子邮件从未更改过，但在转移之前，css-tricks.com 域名的电子邮件地址确实被更改了。
• 解锁域名请求发生在 11 月 14 日下午 4:30 山区时间。 通常需要 5-7 天的等待时间，但 GoDaddy 提供即时转移，他们注意到黑客没有选择这样做很奇怪。
• 他们确认没有其他域名离开我的帐户。

下午12:15 – 我询问 VaultPress 是否可以告诉我更改 index.php 文件的人的 IP 地址，但他们没有这些信息。 如果我保存了那么久以前的服务器日志，它可能就在里面。

下午1:05 – PlanetDomain 的前员工告诉我，黑客试图删除域名服务器，但 PlanetDomain 的系统失败了。（WHOIS 中的这一行：“没有域名服务器”。）黑客必须打电话给 PlanetDomain 来“修复”它，他们没有这样做（谢天谢地）。

下午5:25 – 我这边差不多要下班了，而且要进入周末，所以不太可能在下周初之前有任何进展。 我非常希望至少能够收到来自 PlanetDomain / NetRegistry 的确认，说明他们已经从 GoDaddy 收到了域名争议。 但我还没有收到。

下午7:10 – 我给 MediaTemple 发了一封电子邮件，让他们知道这个问题。 他们没有参与其中，但如果他们能够为我找到 11 月 21 日在服务器上更改该文件的 IP 地址，那可能会有所帮助。

2011年12月3日星期六

上午6:05 – 收到了 MediaTemple 的回复。 服务器日志记录的时间不长，因此无法从那里获得 IP 地址。

2011年12月4日星期日

下午3:50 – 第一次收到 PlanetDomain 的联系 – 客户支持团队的 Christine Dela Fuente

我希望澳大利亚和美国之间巨大的时区差异不会妨碍 PlanetDomain 和 GoDaddy 之间的沟通。

2011 年 12 月 5 日，星期一

在晚上某个时候，域名状态（可从 WHOIS 信息 查看）变为“已锁定”。我认为之前是“活动”状态。此外，名称服务器现在已正确列出（NS1.MEDIATEMPLE.NET、NS2.MEDIATEMPLE.NET），而不是之前显示的“无名称服务器”。我不知道这会带来什么影响。

值得庆幸的是，我的名称服务器还没有更改。instantshift.com 和 sohtanaka.com 就不那么幸运了，**他们的网站现在已离线**。我同情他们，太糟糕了。

designshack.net 也发生了同样的事情，但 David Appleyard 能够直接与 PlanetDomain 沟通，PlanetDomain 同意将他的名称服务器改回他的，因此他的网站恢复了在线状态。这是 PlanetDomain 合作的良好开端，太棒了！

**上午 9:40** – David Appleyard 今早与 GoDaddy 进行了沟通。他们说：“我今天早上刚和 [PlanetDomain] 谈过这件事。这是他们今天要处理的第一件事。”

**下午 1:10** – David Appleyard 再次直接与 PlanetDomain 进行了沟通。他们说，犯罪分子的账户已被暂停，因此他们不再有权进行更改。我不知道 css-tricks.com 是否与 David 的账户在同一个账户中，但我希望是。

**下午 5:00** – 来自 PlanetDomain 的 Christine Dela Fuente 的电子邮件

太好了。迫不及待地想看到域名回到它最初的家。

2011 年 12 月 6 日，星期二

**上午 10:00** 来自 GoDaddy 的推文

**下午 3:00** 来自 GoDaddy 的推文

**晚上 9:00** 来自 PlanetDomain 的电子邮件

WHOIS 数据已恢复。好东西！仍在等待看到域名回到我的 GoDaddy 账户中。

2011 年 12 月 7 日，星期三

**上午 7:45** – 域名已回到我的 GoDaddy 账户中。

其他信息

• David Airey 也遇到了这种情况。他将原因归咎于 Gmail 安全漏洞（该特定漏洞已修复），这解释了为什么他没有收到有关域名转移的通知。
• David Walsh 在 11 月 28 日收到了来自 [email protected] 的两封电子邮件。其中一封写着：“相信我，godady 帮不了你。”另一封写着：“支付 2000 美元才能取回你的域名。”
• 这种情况并非只发生在 GoDaddy 上。原始注册商各不相同，请参见下方。
• PlanetDomain 的前员工告诉我，PlanetDomain 由一家名为 NetRegistry（NR）的悉尼公司拥有和运营。他还告诉我，该域名处于“活动”状态，这对将其迁移回来的可能性来说是个好消息。
• 有关域名争议解决的官方规则。
• 黑客新闻对话（整个星期五都在首页上）
• Slashdot 对话

遇到相同问题的网站

davidairey.com – 已解决

abduzeedo.com – 已阻止 – 能够在域名转移发生之前阻止它，但所有迹象表明同一个黑客试图窃取它 ([email protected]) – 最初在 DreamHost 上

css-tricks.com – 已解决 最初在 GoDaddy 上，坏人将其转移到 PlanetDomain – 域名已返回 GoDaddy。

davidwalsh.name – 已解决 最初在 GoDaddy 上，坏人将其转移到 Name.com，然后转移到 1and1（非常不寻常，理论上不应该可能）– Name.com 能够从 1and1 处取回域名，尽管我认为这并非 1and1 方面的合作。

scriptandstyle.com – 已解决 最初在 GoDaddy 上，坏人将其转移到 PlanetDomain – David Walsh 是该域名的所有者。于 12 月 6 日转移回 GoDaddy。

sohtanaka.com – 未解决 最初在 1and1 上，坏人将其转移到 PlanetDomain – Soh Tanaka 的网站已离线（名称服务器已移除）。PlanetDomain 准备将域名还给 1and1，但 1and1 没有做出回应。

designshack.net – 已解决 最初在 GoDaddy 上，坏人将其转移到 PlanetDomain – David Appleyard 是该域名的所有者。转移回 GoDaddy。

instantshift.com – 已解决 最初在 GoDaddy 上，坏人将其转移到 PlanetDomain – Daniel Adams 已将域名取回 GoDaddy 账户。

kirupa.com – 已解决 最初在 NetworkSolutions 上，坏人将其转移到 PlanetDomain – Kirupa Chinnathambi 已将域名取回。

shiachat.com – 已解决 最初在 1and1 上，坏人将其转移到 PlanetDomain。于 10 月 8 日被盗，于 11 月 24 日下线。Ali A. 现在已将域名取回（实际上将域名保留在 PlanetDomain 上，而不是迁移回 1and1，因为 1and1 太糟糕了）。