最近发生的两起域名劫持事件《天融信域名被劫持》、《知道创宇域名被劫持》,让我不得不重新审视自身的网站安全。于是就从网站上找了相关材料进行阅读,本文是关于域名被盗取之后幸运找回的文章,文章非常的长,但是很有价值。一般而言,网站出现的SQL注入漏洞,XSS跨站,系统漏洞,都不足以和域名劫持的危害所比拟,域名是一个网站的灵魂,没了它,也就没了一切。。最后,购买域名可以参考我这篇文章《关于域名购买的一些建议》
编者按:以下是一个中国个人站长域名被盗的经历,大致是因为在Godaddy上使用了与CSDN相同的用户名和密码,而因为CSDN密码泄漏,导致Godaddy帐号被盗,最终使得域名被盗。防止Godaddy域名被盗只要有两点:Godaddy帐号和邮箱,Godaddy帐号使用单独的用户名(不要和其他网站用户名相同)和强密码,域名全部锁定(迁移解锁会发送邮件),邮箱使用安全的邮箱(建议使用Gmail,开启“两步验证”功能,全世界目前只有Gmail具有这种手机动态密码验证功能,这样除非Gmail用户密码和手机同时被盗,否则黑客很难攻破)。而如果Godaddy域名被盗之后,中国用户与其进行交涉就非常麻烦了,以下这个站长的经历就可见一斑,因此编者转发此文,以提醒广大站长保护好自己的域名。
以下是原文:
众所周知,域名是一个网站的根基,就像是大树的根、大楼下面的地皮,一旦域名被盗,对于网站的打击将是毁灭性的。黑客拿到域名的拥有权之后,便可以将域名解析到他自己的服务器上,将网站换成一个挂满木马或病毒的页面,这样网友一进入该页面就中木马。或者可以直接将域名跳转到色情网站上,通过该色情网站来获利,这都是短时间内获得暴利的办法。不过他也可以仿制原本的网站,使其界面看起来一模一样,然后将网站的广告全换成他自己的,通过广告来获得持续性的利益。总之域名被盗后,原站长就对自己的网站失去了一切控制权,就算更换新的域名,网友们在短时间内也很难获知新的域名地址,换域名之后网站必定元气大伤,网站名气大一点的,可能有一部分网友还会通过该网站名找过来,名气小的直接就废了。
由于缺乏相关法律保护,域名被盗之后,唯一的办法是找域名注册商申诉,因为公安局和法院通常都不会受理。而也没有任何规定显示域名注册商必须对域名被盗负责,由于每天接到的申诉过多,域名注册商为了避免承担不必要的风险,通常都会拒绝域名注册人的申诉,并让他们去报案或去法院诉讼,相互踢皮球。所以说现在域名基本上处于三不管的境地,一旦被盗,能找回来的寥寥无几,要想保护域名只能依靠自己。
笔者的个人网站创立于2005年初,其实早在2007年2月份域名就曾被盗过。域名是在新网的一家代理商注册的,新网是当时国内两大域名注册商之一。当时本人已有十几个重要的地方需要用到密码,如QQ、邮箱、服务器、FTP、网银等等。由于密码多了自己也老是忘记,为了记忆方便,我将两两不相关的地方设置为相同的密码,例如当时网站主服务器的登陆密码,与我域名管理邮箱的密码相同。这样做也是为了避免某一处密码泄露导致所有东西沦陷。谁知道当时那个黑客入侵了网站服务器,通过后门程序获得了网站服务器的密码,他或许是拿着这个密码将我所有地方都试了一遍,最终邮箱也被盗。之后他再通过这个域名管理帐户的密保邮箱,取回了域名管理帐户的密码,然后进入域名管理平台,将域名转出了该代理商的系统,过户到了他自己的新网帐户下面,域名的注册人名称和注册人邮箱地址也全被改了。后来我通过身份证和部分邮件(用了foxmail,邮件存在了电脑上)向网易申诉,拿回了邮箱,然后再联系那家代理商,可是代理商却说域名已不在他们系统内,他们无权操作,要我联系新网。我联系了新网,得到的答复却是无法受理。后来经过多次联系,新网那边终于答应受理,但需要那家代理商出具证明,证明该域名是我本人在他们那边注册的。为了取得该证明,我提供了域名注册成功的邮件,域名注册时的银行打款记录,域名续费时的打款记录等等,连同身份证一起发了过去。经过艰难的努力,最终终于拿回来了域名。事后我给新网的杨经理发了封感谢信。
自那之后,我认识到密码安全的重要性和严重性。我开始使用密码本保存密码,每个地方密码都不同,但随着时间的推移,互联网上需要用到密码的地方越来越多,不可能每个都使用密码本保存,每次输入起来也会不方便,于是我将密码分为3个等级,最初级的通常是一些临时性的帐号,例如到某论坛去下个东西,却发现必须登陆,于是随手注册一个帐号,这个帐号就算被盗对我没有任何损失,但这个地方或许将来我还会再来,所以这类帐号我统一用一个相对比较简单又容易记忆的密码。中级密码用在那些我经常要去的地方,且这些帐号即使被盗了也不会对我造成太大的损失,或者说我可以通过密保轻松的拿回来,所以这些地方我统一设置一个较复杂的密码。最高级别的密码是那些非常重要的地方,如QQ,邮箱,网银等等,我每个都设置不同的密码,密码同时包含数字+大小写字母+特殊符号,并且经常更换,但输入起来也非常麻烦,如今这类密码都已经有超过50个了。
2009年国内打击低俗网站,由于低俗没有明确的标准,当时大批网站被殃及,有些网站的域名甚至直接被域名注册商给锁了,由于域名放在国内,只要通信管理局下个通知给注册商,注册商就会把域名HOLD处理,这个域名就彻底无法使用了,一时间搞得人心惶惶。为了域名安全,我在那时将网站的其中一个域名转移到了美国最大的域名注册商GoDaddy。2010年GoDaddy支持了支付宝,付款和续费都更方便了,于是我又陆续将几个未建站的域名转了过去。有一次我试图修改一下某个域名的注册信息,结果GoDaddy马上给我的邮箱发来验证邮件,要求我回复该邮件或点击里面的链接,才会将新的信息更新到域名上,如果我没回复也没点击链接,那么对域名的修改就会无效,这封确认邮件至今还保存在我的邮箱内。正是由于这次的操作,让我误以为GoDaddy的安全机制很好,因此没有对我在GoDaddy的帐户引起重视,我将GoDaddy帐户的密码等级列为了中级,然后一门心思放在了保护好邮箱上面。谁也不会料到将来某天GoDaddy会取消这种验证机制。
鉴于之前转入GoDaddy的几个域名一直都挺安全,而国内的局势又比较动荡,经常传闻又要开始严打,于是在2011年我将自己网站的主域名也从新网转到了GoDaddy,至此我的GoDaddy帐户内已经有5个域名了。
大多数域名被盗的情况可能都是由于域名注册邮箱先被盗,继而导致域名被盗,因此保护邮箱安全是保证域名安全的最重要的措施。经历第一次域名被盗后,我立即给邮箱上了多重保护,例如实名认证,捆绑手机,邮箱改密通知,收到邮件短信通知等等,邮箱密码我还经常换。我想我的安全意识已经够强了吧,自从2007年之后我密码本上的那些帐号还一次都没有被盗过。没想到这次会阴沟里翻船,这一次域名被盗可能是由多方面原因造成的,我自己的疏忽,该黑客的精明,GoDaddy的漏洞以及各种巧合,现在想来,这或许就是命中注定该有此一劫。
2011年底,CSDN等网站发生密码泄露,而本人在CSDN上的帐号和密码与GoDaddy上的一模一样。前面说了由于以前的一次修改操作,GoDaddy发来验证邮件,因此我只将GoDaddy帐户的密码等级列为了中级,与CSDN等网站采用相同的帐号密码。CSDN泄密事件爆出来后,我也没想到要去改下GoDaddy的帐户密码,一方面我以为应该不会有人盯上我,另一方面,在那时我看来,就算黑客进入了我的GoDaddy帐户,他想改我域名的任何信息都必须经过我邮箱的验证,我只要保护好邮箱,并且不回GoDaddy发的邮件,不点击邮件中的任何链接,他就盗不走我的域名。
2012年2月22日,我的邮箱中收到了一封来自GoDaddy的邮件,我看了前面几句意思是说我的帐户信息被修改了,但没说具体什么被改了。然后下面大片大片的英文,我猜想可能是GoDaddy的修改验证邮件,只要我不回,不点链接肯定没事,于是我也没仔细看。不过考虑到域名安全的重要性,我当时还是立即登陆了一下我的GoDaddy帐户,很正常的进去了,检查了一下帐户,没发现啥被修改,域名也都还在,域名信息都正确。于是我更加确定那封邮件是来验证修改操作的了,本来想给帐户换个密码,但是GoDaddy的服务器在美国,我们这边要打开都很慢,当时点了几下网页都给卡死了,于是就放弃了,我想着大不了下次再来改吧,这件事就这么忽略过去了。
通常情况下,网站站长不需要频繁的登陆域名管理系统,如果不需要对域名进行什么修改的话,长时间不登陆也很正常。我一般一个月左右检查一次GoDaddy帐户和域名,不过假如去登陆的时候刚好碰上GoDaddy的网站打不开,那么少检查一次在我看来也不是什么大事。3月底的时候我打算再去看一下我的帐户和域名,可是半天打不开GoDaddy的网站。而自从2月22日之后GoDaddy没有再给我发来任何邮件,于是我估计那个黑客可能认为改不了我任何信息,于是就放弃了吧。我用第三方whois功能查询了我的所有域名,信息都是正确的,于是这次我虽然没进入到我的GoDaddy帐户中去,但我认为我的帐户和域名还是安全的。
直到4月16日晚上的时候,我才无意中发现我的所有域名已经被盗,域名的注册人、注册邮箱都已全部被改。我立即意识到出大事了,赶紧登陆GoDaddy帐户,却提示密码错误。然后使用GoDaddy网站提供的取回密码功能,却提示邮箱地址不正确,说明GoDaddy帐户被盗后,连密保邮箱也已被换了。刚发现的时候我都不敢相信自己的眼睛,一直查询了很多遍,并且在登陆GoDaddy帐户时提示了好几次密码错误,我才确认域名已被盗。顿时间我感觉天塌下来一样,整个人都呆若木鸡了。我实在想不通该黑客是如何盗走我的域名的,因为我的邮箱内自从2月22日之后再没收到过GoDaddy的邮件,按照我之前的理解,黑客改我的帐户信息或域名信息时,GoDaddy应该给我发送验证邮件的,只有我确认过了,修改才能生效。难道是我的邮箱已被盗吗?我立即登陆邮箱,查询了邮箱近期登陆记录,自2月22日开始到现在,所有登陆IP都是我本人的,说明邮箱没有被盗。而且即使真的邮箱被盗,我手机肯定会收到短信通知的。
我查询了域名的whois信息,发现我的5个域名的最后更新时间(Last Update)都是4月8日,我再查询域名的whois历史记录,5个域名在4月8日之前的信息都还是我本人的,4月8日之后就都是那个黑客的了。因此可以确定这5个域名都是在同一天(4月8日)被过户的,但该黑客过户后并没有更换域名的DNS服务器,也就是没有改域名的解析,所以我的网站一直都能正常打开,没有任何人知道网站的域名已经被盗,这也是导致我到4月16日才发现的原因。
4月16日当晚,我百度搜索“godaddy 被盗”,发现网上已有许多类似的案例。就在前不久,4月1日愚人节,国内著名体育赛事直播网站“直播吧”(zhibo8.com)宣布域名被盗,很多人甚至以为是愚人节玩笑。黑客已经仿制了“直播吧”原网站,并修改了DNS服务器,黑客在他自己的这个“直播吧”网站上挂满了赌球和博彩广告,而网友们却还以为是原直播吧的站长挂的广告,因为对于他们来说这个“直播吧”网站没有什么太大变化,只有广告换了而已。16天过去了,zhibo8.com依然没有拿回来,看来我的情形也不容乐观。
现在我的域名被盗了,我必须立即联系域名注册商GoDaddy,这是拿回域名的唯一途径,可是我都不知道该如何联系他们,GoDaddy网站上提供了电话,可是我英文又不好,打过去也说不上话。后来我找到了“爱晴皇岛”的那篇著名的GoDaddy域名被盗找回教程,教程里面说帐户或域名被盗后15天以内为申诉期,在15天内联系GoDaddy并提交相关证据,就能撤消之前的变更。
按照教程里提供的联系邮箱地址,4月17日凌晨我给GoDaddy的撤消部门(undo@godaddy.com专门处理域名修改撤消操作的部门)去了第一封邮件,告诉他们我的帐户和域名在4月8日都被盗了,请求他们帮助我。第2天他们答复我了,答复内容在我意料之中,但还是令我非常沮丧。他们说任何域名的争议都应由域名仲裁机构或法院来解决,他们作为域名注册商无权处理域名争议。不过我还注意到他们说了一句关键的话,“由于该变更已发生太久时间,我们无法帮助你”。按照教程里说的,15天以内是申诉期,我域名8号被盗,我17号凌晨(美国当地时间应该是16号白天)联系他们,才过去8天不到,为什么他们会说变更已发生太久呢,我立即回信对他们解释。第2封信中我说,“我昨天一发现域名被盗就立即联系了你们,这距离4月8日域名被盗仅仅过去一星期时间,由于该黑客没有修改掉域名的DNS服务器,我的网站至今都能正常访问,导致我没有及时发现域名被盗。而且,我的邮箱内没有收到任何GoDaddy发来的通知邮件,否则我将更早发现被盗。这些域名对我非常重要,我请求你们帮助我,我有足够的证据能证明这些域名都是我的”。由于英文不好,我借助谷歌翻译和金山词霸,一字一句的把这些话翻译成英文,给他们发过去。第2天,4月19日凌晨他们给我的答复非常简练,就一句话,“同前面说的一样,由于该变更已发生太久时间,我们无法帮助你”。
我很不服气,因为我觉得作为网站的管理者不可能天天没事去查自己的域名whois信息,天天去登陆域名管理帐户。假如黑客盗走了域名却不修改域名DNS,网站的管理者根本很难发觉域名被盗。我能在8天之内发现被盗,也纯属运气,刚好那天突发奇想去查一下whois信息,要不然一个月之后才发现也很有可能。现在我在15天的期限内联系他们,他们为什么要拒绝我的申诉呢。于是第3封邮件我略带质问的口气问他们,为什么我在15天的期限内联系你们,你们却不受理。我请求你们对我的域名展开调查,我相信我能提供所有的证据。30分钟后他们就答复我了,这次速度是有始以来最快的,但答复内容也是最简练的:“再次申明,由于该变更已发生太久时间,我们无法帮助你”。
由于GoDaddy一直坚称变更已发生太久时间,我想我的域名可能在4月8日之前就已被盗。为了了解该黑客盗走域名的全过程,我自己开始展开调查。我又仔细的看了2月22日收到的那封邮件,里面写着我的帐户信息已被修改了,如果这个修改不是我本人操作的可以与他们联系。英文不好害死人啊,当初没有仔细看完这封邮件,以为是要我确认操作呢,谁知道它只是一封通知邮件,修改已经生效了。可是到底什么信息被改了,这封信里没说。2月22日我登陆进GoDaddy检查了,没发现问题。那是因为该黑客在那天只修改了帐户的密保邮箱,而帐户密码,联系人信息,和域名等都没动。而密保邮箱在修改密码页面上,因此我那天检查没有发现密码邮箱已经被换掉了。
我又去查了域名whois历史记录,发现在3月10日之前的记录里,52tian.net这个域名的最后更新时间(Last Update)都是2011-05-16,也就是我从新网转入到GoDaddy的日期,而3月10日到4月8日这段时间内的记录显示最后更新时间(Last Update)则是3月10日。其他几个域名在这段时间内的记录里,最后更新时间(Last Update)也全是3月10日,除了这个日期字段变了以外,其他信息都未发生变化,都是我本人的信息。由此可以断定,在3月10日这天该黑客对我的域名进行了一个操作,这个操作没有修改域名的任何信息,但却使得域名的Last Update字段会被刷新。因为我之前将域名从新网转入到GoDaddy后,保持了域名信息不变,但Last Update却被刷新了。所以可以确定,域名转出注册商的操作,可以实现不改域名的任何信息,但又刷新Last Update。而当前我的几个域名都还是在GoDaddy,并没有被转到其他注册商去,所以3月10日黑客做的不是转出操作,我猜测或许是注册商内部域名过户操作,也叫域名PUSH。即将域名从一个域名管理帐户转给另一个域名管理帐户,域名还是停放在GoDaddy,只是被转到不同的帐户下了。为了验证我的猜想,我特意在GoDaddy重新注册了2个帐户和1个域名,然后将该域名从原帐户过户到新帐户,在过户过程中,有2个选项,“保持域名信息不变”和“保持域名DNS服务器不变”,只要勾选了这2个选项,那么过户之后域名的任何信息都不会变,只有Last Update被刷新。由此我可以断定该黑客在3月10日同一天,将我GoDaddy帐户内的所有域名,过户到了他自己的帐户内。
至此该黑客盗走的大致过程应该是这样,他先通过CSDN网站泄露出的用户数据库找到了我的帐户和密码,2月22日他拿着这个帐号和密码去GoDaddy网站上试,结果他进入了我的GoDaddy帐户。为了避免打草惊蛇,他仅修改了我帐户的密保邮箱。3月10日,他见我还没改密码,密保邮箱也没换回,他知道我还没察觉他的行为,然后将所有域名过户到他自己的帐户内。4月8日,他才将所有域名的信息换成他自己的,到此时他才终于完全获得了域名的持有权。4月8日之后我猜想他可能在仿制我网站的程序,模仿界面和采集数据等,等到时机成熟再把域名的DNS服务器也换掉,把域名解析到他自己的服务器上,然后给网站挂上他自己的广告。我可以想象,他的手段会和盗取zhibo8的那个黑客很像,不排除就是同一人的嫌疑。
为什么他每一次操作都要间隔那么长时间呢。因为根据GoDaddy的政策,帐户或域名信息被修改后15天内都可以申诉撤消。该黑客显然非常熟悉该政策,他2月22日若是把我帐户的密码也给换了,甚至是域名盗走了,我肯定当天就能发现,这样我立即申诉,拿回来的可能性极大。因此他等到3月10日,此时距离帐户的密保邮箱被修改刚好过了16天,时间把握得很准。到4月8日改掉域名信息,也已超过了申诉期。因此我4月16日再去申诉,当然会被拒绝。这个黑客的精明之处在于并不急于求成,整个过程中他都没有将我域名的DNS服务器更换,为的就是不让我发觉,然后步步为营的将域名拿到手。许多黑客一拿到域名管理帐户密码或是邮箱密码,就马上把别人的域名转走,然后把解析换了,这样就算是傻子也能马上知道自己域名被盗,很容易就申诉回来。
在等待他们邮件的过程中,我飞回老家去把护照办了。因为按照教程中所说,一旦GoDaddy开始受理申诉,就要给他们提供护照和身份证翻译件。由于办理护照通常需要15-20个工作日,就算花钱加急也要一周左右,因此我必须尽早去把护照办好。身份证翻译件我4月17日已经联系“爱晴皇岛”帮我制作了。“爱晴皇岛”告诉我,就算是他来帮我也很难拿回了,因为我现在的情况是最复杂的,域名管理帐户2个月前被盗,密保邮箱被改了,帐户的联系人名称也肯定早就改了,域名又已被过户,现在域名的信息也已不我的,唯一的办法就是与GoDaddy慢慢磨了。
但是经过这3封邮件,我看我是拿他们没办法了。此时已是4月19日,距离发现域名被盗已经过去了3天,这天我做了两件事情,一是联系网络上某知名律师,二是去公安局报案。我是这样想的,或许让律师去交涉,给GoDaddy发律师函后,他们可能会重视一点,而不是总想着推卸责任。
我一直想不通为什么我的域名被盗,而我的邮箱竟然没有任何相关邮件。而且邮箱自2月22日以来的登陆IP全是我本人的。我怀疑可能是不是GoDaddy发来的邮件被系统自动归类到垃圾邮件里去了,然后垃圾箱里的邮件保存超过7天便会自动彻底删除,又或者是不是该黑客入侵我的电脑,利用我的电脑进入我的邮箱,将收到的邮件删除。为了确定这一点,我立即致电网易客服,请他们帮我确认在4月8日-4月9日这两天时间里,是否有收到过发件人是support@godaddy.com的邮件。网易技术部门在后台查询后确认,这两天内没有来自该发件人的邮件。我将电话进行了录音,以便将来可能成为证据之用。
4月29日,ICANN那边没有任何回音。此时距离我发现域名被盗已过去了13天时间,我寄托在律师身上的希望也彻底破灭了,接下来或许只能靠我自己。我不知道我还有多少时间,也许今天,也许明天,黑客就会把DNS服务器换掉,但我不能再等了。我认为必须将那个安全漏洞告知给GoDaddy他们才会重视。我写了一封很长的邮件,详细的描述了该漏洞,以及黑客利用该漏洞盗走我域名的全过程。在最后我略带威胁的语气说假如GoDaddy坚持不肯受理我的申诉,我将委托美国律师起诉GoDaddy,并将此漏洞报告给新闻媒体。希望这样能引起他们的重视。
出乎我的预料,等了几天,石沉大海,本来还以为这封邮件能起点作用,这样的结局令人大失所望。于是我决定向ICANN投诉,投诉页面地址是http://reports.internic.net/cgi/registrars/problem-report.cgi,选择最后一项Transfer Problems,里面包括了“欺诈转让”。我把给GoDaddy的那封邮件稍微改了一下,提交给了ICANN。当天,ICANN就把我的投诉转发给了GoDaddy进行处理,并表示他们一直会跟进此事。
第2天GoDaddy的撤消部门果然答复我了,但他们的态度依然很坚定,“我们认为有必要再解释一下为什么你的申诉请求被拒绝,保护好帐户的安全信息是客户自己的责任,你可能需要重新查看一下我们的域名注册协议,如果你还有异议可以将申诉提交至法院或仲裁机构,如果你提交了申诉,请转发一份给我们,我们很乐意配合任何法院或仲裁机构”。GoDaddy依然死不认错,他们不认为自己有任何责任。为了找到有关域名注册商需要承担的相关责任,我开始在ICANN网站上寻找相关的政策和条款,终于被我找到了几条,我将协议链接和相关条款整理了出来,写成了封邮件(原文为英文,同时发给了GoDaddy和ICANN)
同一时间,我开始联系美国律师,我当时想的是,如果他们还是坚持不肯受理,那我也没别的办法了,只有委托美国律师起诉GoDaddy。可是美国律师告诉我,就算是在美国也没有专门的法律用于保护域名这样的无形资产,如果要起诉的话,只能依据《知识产权法》,类似域名被盗这样的情况胜算不大。收到这样的结果后我又倍受打击,看来我的最后一条出路也被堵死了。而GoDaddy那边又一直那么强硬。之前给他们发的有关他们漏洞的邮件,也未能引起他们重视,3天了他们都没有答复该邮件。看到网上有人说可以给warren@godaddy.com发邮件试试,这个是GoDaddy的CEO的邮箱,于是我把先前那封邮件重发给了撤消部门,并转发给了这个可能是CEO的邮箱地址。不知道是不是CEO施加了压力,还是撤消部门之前没有注意到我发的邮件,这次重发才看到。总之在第2天GoDaddy又答复我了,但内容依然是“同前面说的一样,由于该变更已发生太久时间,我们无法帮助你”。看来他们是铁了心要拒绝受理我的申诉,此时此刻我基本上快要绝望了。
此时已是5月2日,距离我发现域名被盗已过去了16天时间,我问律师我的域名还有办法吗,律师说只有提交域名仲裁了。我打电话给亚洲域名仲裁中心北京秘书处,询问关于域名被盗的情况仲裁中心是否受理,得到的答复是“域名被盗的情况我们管不了,以前也没受理过类似案件。不过你要提交仲裁也可以,我们不管域名是不是被盗的,一律按ICANN的统一域名争议解决政策(UDRP)进行裁决,只有同时满足该政策的三条规则才能胜诉”,他们所说的三条政策中的第一条就是“争议域名与投诉方的注册商标相似”,我连商标都没有,肯定满足不了了。
公安局管不了,域名仲裁也管不了,GoDaddy又不受理,这下我真的走投无路了。我悔当初为什么要把域名转到国外,若是现在我的域名在国内,可能早就拿回了,就算没拿回至少公安机关那边也有希望破案。我悔当初自己明明知道CSDN泄密了为什么不坚持把GoDaddy帐户的密码改了,我恨GoDaddy为什么会存在那么大的漏洞,我恨老天爷对我如此不公平,把那么多的巧合安排在了一起。我一向奉公守法,行事低调,乐善好施,我究竟得罪谁了我。怀着无比悔恨的心情我给GoDaddy的撤消部和CEO邮箱发去了我认为可能是最后的一封邮件。内容是“我已经联系了域名仲裁中心,他们不受理域名被盗的情况。我也联系了法院系统,法院告诉我目前没有任何相关法律可以保护类似于域名这样的网络无形资产。他们都建议我联系域名服务商解决。因此我除了向GoDaddy申诉以外没有其他办法了。我再次请求GoDaddy调查我的域名。在4月8日之前那些域名的所有信息都是我的,我一发现域名被盗就立即联系了你们,我联系你们的时间在15天的申诉期限内,我知道你们可以帮助我的,除了你们就没有人能帮助我了”,这封邮件发过去我已经没有抱有任何希望,因为我对GoDaddy已经彻底绝望了。
3天假期放完了,公安局已经上班,我拿着网站价值评估报告,来到成都市公安局打算立案,可是之前联系的那位警官却以外出办事为由让我明天早上9点再来找他。没办法,我只好5月3日一大早就去公安局门口等着,那天下着很大的雨,又冷又饿,等了一个多小时,那位警官的电话竟然还没打通,而没有警官通知门卫,门卫就不让我进去。我想这位警官可能是有意不想再接待我了,我再联系他也没用。于是我对门卫说我要报案,具体情况和第一次去金牛区公安局的情况差不多,后来联系上了一位网监大队的警官,这才让我进去。进去后我又一次详细的陈述了整个事情的经过。这位警官一听就明白,显然经常处理网络上案件,而且从头到尾一直态度非常和善,基本没有打官腔。在接待我的过程中他还接到其他人打来电话报案,说是网络游戏的装备被盗了,他让对方准备好资料过来一趟,可以进行调查。在听完我的陈述后,他看了我的评估报告,又拿去咨询了有关的同事,然后回来告诉我说,我做的这个报告不能用,因为该资产评估公司和评估师缺少一个政府部门的资质认证,他们提供的资质认证是一个北京的资产评估协会颁发的,这是个民间组织,这样的资质做出的评估报告只能用于民间交易等用途,不能用于司法用途,必须有物价局或其他政府部门颁发的资质认证才行。我对他说我找了很多家成都的会计师事务所和资产评估公司,都说没有这个资质,做不了网站的评估,而少数几家能做的又报价非常高。要是重做的话我估计又得花上万甚至几万的钱,万一最后还是没有破案,我这几万块钱都白费了。他说,“立案的话流程很严格,要求资料必须符合规定才能给立案。但是我听完你的叙述,了解了你的实际情况,年轻人做点事业也不容易,我可以相信你,先帮你调查,等调查有进展了,有破案的希望了,你再去重新做评估报告,然后我们再立案”,听完这位警官说的我心里舒服了些,尽管还没看到什么希望,但是至少他答应可以先调查,假如那个黑客改了我域名的DNS服务器,对网站进行了进一步的操作,那么可以马上联系他。
由于黑客还没有换掉我的DNS服务器,此时网站还能正常打开,没有人知道网站的域名已经被盗。接下来我的打算是这样,既然法律途径和GoDaddy申诉都没办法了,那我只有尽快提交域名仲裁。尽管一开始就听律师说仲裁不可能拿回被盗域名,但GoDaddy也说了,只要仲裁一开始他们就会把域名锁定,黑客将无法再修改DNS。而ICANN对于域名仲裁的最长裁决时限是60天,也就是自仲裁开始后,最多在60天内必须出结果。既然我已没什么希望能拿回域名了,那我就只有更换域名,以求尽量挽回一点损失。可是在仲裁开始前,我根本不敢更换域名,我只要将原来的域名一做转向,黑客极有可能立即将DNS换掉,这样网友们都来不及得知新的域名。等仲裁开始之后,我就立即将域名做转向,然后尽量拖延时间,拖满2个月,在这2个月的时间内,我尽可能的依靠网络和媒体,告知网友们网站已更换新的域名。有2个月的时间做缓冲,应该多少能挽回一些损失。假如黑客先我一步将DNS换掉了,那这2个月内网站都将被他控制,就算我最终能胜诉,这个网站也残废了。因此这是我至关重要的一步,我一天时间也耽误不起了。
5月3日,GoDaddy果然没有回复。我立即开始着手准备域名仲裁的材料,首先我需要详细的了解域名仲裁的政策和流程。我在亚洲域名争议解决中心北京秘书处的官网上泡了一整天(https://www.adndrc.org/bjc_home.html),终于摸清了域名仲裁的详细政策。域名仲裁一次可以申请仲裁2个域名,最低费用为1000美圆(1人专家组,3人专家组要2500美圆),提交资料之后,秘书处会先进行审核,确认没有问题后就要打款了,他们收到付款后仲裁便正式开始。仲裁机构不会管域名是不是被盗的,所有的案件都会依照《统一域名争议解决政策》(UDRP)来裁决。所谓的UDRP主要有3个条件:
(1) 争议域名与投诉人享有权利的商品商标或服务商标相同或混淆性相似;及
(2) 被投诉人(域名持有人)对争议域名不享有权利或不具备合法利益的原因;及
(3) 认为争议域名系恶意注册和使用的理由。
域名必须同时满足这3个条件,投诉人才能胜诉,少一个都不行。在投诉书中,投诉人必须根据这3条逐条进行阐述。之后再由被投诉人对这3条逐条进行答辩,最终由专家组裁定争议域名是否完全符合这3个条件。
我将以上这些整理好全部写进了投诉书,帐户和域名被盗的全部过程也详细的写进去了。我还说了由于域名服务商GoDaddy存在漏洞,导致我没有收到任何通知,发现域名被盗后就立即向GoDaddy申诉,可是他们一直拒绝受理。我提供了GoDaddy漏洞的录象和网易客服的录音作为证据。弄完之后我又仔细的检查了好几遍,以确保我的每一句话都没有遗漏之处,每一个证据都非常有力。5月4日凌晨1点,我将投诉书和所有证明材料一并发送给亚洲域名争议解决中心北京秘书处,同时转发给GoDaddy的域名纠纷部。之后我又再给域名纠纷部去了一封邮件,说我已经提交了域名仲裁申请,请你们尽快把我域名锁起来吧。由于投诉书经过了周密的构思,并提供了足够的证据,此时此刻我对仲裁拿回域名还是挺有信心的,与当初计划的仲裁一开始就换域名的想法已完全不同,剩下的就是等北京秘书处审查我提交的资料了,我只希望北京秘书处能尽早开始仲裁程序。由于不用再为等待GoDaddy的邮件而守到天亮了,这一天是我这半个多月以来睡得最早的一天。
5月4日一大早,8点还没到,迷糊中我手机收到短信显示有新邮件,起初我以为是北京秘书处给我答复了,但一想不对,8点钟没到秘书处还没上班呢。再仔细一看竟然是GoDaddy发来的,GoDaddy从来没在这个时间点发来过邮件,难道会有奇迹?我立即爬起来看邮件,奇迹竟然真的出现了。GoDaddy的撤消部在北京时间7点47分答复了我最后发给他们的那封邮件,由于15个小时的时差,这个时间应该是GoDaddy的下午4点47分,也就是快下班的时间。他们在邮件中发了一个撤消申请表格给我,并让我按照说明填写该表格,然后将身份证明作为附件一并发送给他们。邮件中说,他们已经锁定了域名以防止进一步的修改,在收到我的材料后他们便会展开调查,如果10天之内没有收到材料那么该申诉就会自动结束。收到这封邮件让我无比的兴奋,一下子困意全无,这表示GoDaddy已经正式受理了我的申诉。尽管域名还没有拿回来,但是听说只要GoDaddy发来了这个撤消申请表,就成功了一半。最关键的是GoDaddy说已经锁定了域名,这下我终于可以放心了。
于是我立即填好表格,然后将护照,以及4月20日去公证过的身份证和驾照翻译件一起回过去了。我在信中说,“如果你们认为还需要其他的任何证据,我都可以立即提供给你们”。回信之后我立即给北京秘书处打电话,请求他们撤消我的仲裁申请。因为既然GoDaddy已经在受理了,那拿回域名的可能性就非常大,而仲裁那边尽管我也有信心胜诉,但还是存在较大风险,而且仲裁周期太长,因此没必要在走域名仲裁了。北京秘书处说我的申请材料才刚提交,仲裁还未正式开始,因此可以撤消。
我至今也没弄明白为什么先前GoDaddy一直态度那么坚决的拒绝我,到5月4日又突然决定受理我的申诉,我猜想有这么几种可能。
(1)由于我在ICANN那边投诉了GoDaddy的安全机制存在漏洞,后来ICANN那边给GoDaddy施压了
(2)我在“最后一封”邮件中说法院和仲裁都不受理,除了你们就没人能帮助我了。我再次请求他们调查我的域名。他们或许被我的坚持所感动了
(3)CEO知道了我的事情,给撤消部施压了
(4)我5月4日凌晨给他们转发了我提交的域名仲裁申请材料,他们部门或许有懂中文的人,他们看懂了我写的投诉书内容,认为我写的都是事实且有理有据,于是他们选择相信我
(5)之前他们都是为了考验我,或许他们以前碰到过企图利用申诉对域名进行反劫持的黑客,为了避免承担这样的风险,他们先一直拒绝我,他们知道如果我真的是域名注册者,最终一定会去申请域名仲裁的,如果是黑客,一般多次被拒绝后就会放弃反劫持计划了。而最终他们看到我提交仲裁了,于是当天就接受了我的申诉
不管是出于什么原因,总之GoDaddy终于肯受理我的申诉了,那种感觉就像是一下子从地狱回到了地面,即将步入天堂。接下来的这个周末我终于过得舒坦一点了,总算可以安心一点,等待也不再那么痛苦。
5月9日,此时距离我发现域名被盗已经过去了23天,距离我提交撤消申请表给GoDaddy也已过去了5天,可是GoDaddy那边没有任何动静,我不知道他们是否在调查了,或者说上次回的邮件被不小心忽略过去了,又或者是我提交的证件不符合他们的要求,我都不得而知。但是他们上次在邮件说如果10天内没收到我的材料,申诉就会自动结束,我担心上次发的邮件他们没收到或是没注意到,于是我决定重发一封邮件过去询问一下。我在邮件中说,“请问你们收到了我的撤消申请表吗?自从5月4日我提交了撤消申请表和身份证件之后已经过去了5天,我担心你们没有收到我的邮件,因此我重发一次,如果打扰到你们请原谅。如果你们已收到了我的材料,能否告诉我调查是否已开始?如果还差什么证据请告诉我,我将立即提供给你们。”这封邮件中我提交了护照和“爱晴皇岛”帮我做的盖了双语公章的身份证翻译件,我猜想之前是否公证处的翻译件没有盖双语公章的缘故。我又将邮件同时发给了撤消部和CEO邮箱,毕竟这么多天没回复我,我也有点担心他们上次发来表格只是为了敷衍我,想拖延满10天使申诉自动失效。
5月10日,我终于收到了期待已久的消息,GoDaddy将我的5个域名全部转到了我撤消申请表中指定的帐户内,域名的信息也全改回了我的。刚得到消息的时候,我难以平静心中的激动,这将是我人生之中最值得庆祝的日子之一,没有人能理解我之前的痛苦,以及现在的激动。在过去的24天时间里,我付出了巨大的努力,经历了重重困难,至此,被盗的5个域名终于在这一天全部完壁归赵。
从发现域名被盗至今,总共花费约3万元,其中基础律师费2万,网站价值评估报告6000,回老家办护照往返机票2000多点,办护照和加急花了850,做身份证和驾照的公证花了900,做带双语公章的身份证翻译件花了200。尽管花费不少,但钱已是小事,最关键的是最终拿回了域名,这次真是不幸中的万幸了。
经历过这次域名被盗,我得到了许多的经验、教训和感悟,正所谓塞翁失马,焉知祸福呢。每个人的一生中都会碰到各种磨难,挫折或是天灾人祸,就像是命中注定一样,躲都躲不掉。平时为人处事应尽量低调,坚持不做恶原则,伤天害理的事情绝对不能做,尽量乐善好施,力所能及的去帮助那些比自己更困苦的人。如果觉得自己过得不幸福,就多想想那些比自己更困苦的人们,比如清洁工、小摊贩等等,他们才是这个社会最底层的人。这样即使某天身陷囹圄,面临凶险之境地,最终也能逢凶化吉,化险为夷。这次我能平安度过难关,尽管我自己确实付出了巨大的努力,但也不排除有某种未知的力量在推动着,才使得事情出现了180度的转机,不管是否真的有神灵存在,今后我都将在慈善方面做得更多,尽可能的去帮助他人。
我花了几天时间写完这个帖子,一来为了记录下自己这段时间以来的经历和心情,将来有一天若是再碰到了其他的天灾人祸,回过头来想一想,曾经这么大的劫难我都挺过来了,其他的又算得了什么。二来我想现在或是将来一定还会有人被盗域名,当他们看到我这个帖子时,或许能给予他们一些帮助或是鼓舞,希望他们也都能顺利的拿回自己的域名。当我域名被盗时也是满网络的找解决办法,后来幸亏找到了“爱晴皇岛”的教程,才让我了解了大致的申诉流程,我能拿回来得益于别人的帮助,因此现在我也把我的经历写出来,希望也能帮助到别人。
最后我想再写点关于域名保护方面的建议,也可以说是我的经验和教训。
(1)类似GoDaddy这样的安全机制对于域名的保护非常脆弱,一旦域名管理帐户被盗或域名的注册人邮箱被盗,域名都将失去任何保护。我认为最少应该在更换域名邮箱、过户、转出、修改DNS等重要操作时再加一道密码验证,而且这个密码应该不能与域名管理帐户的登陆密码相同。另外重要操作发生后,应该给密保邮箱或域名注册人邮箱发送二次验证邮件,验证过后才能修改生效,而不是在修改之后才发封通知邮件。不过这些安全措施还是无法彻底防止域名被盗,一旦邮箱被盗这些措施都将失去作用。因此最有效的措施可能是与手机绑定,每个重要操作前系统都给绑定的手机发送验证码,只有输入这个验证码才能继续操作。这样的话域名就会安全得多,毕竟很少会有黑客盗取了对方邮箱或帐户后还能偷到对方手机。国外的域名注册商好象没听说哪家可以绑定中国手机的,而国内的话我现在使用的易名可以绑定手机,而且过户转出操作都需要手机验证码,因此我认为从防止域名被盗的角度上讲目前国内的注册商反而比国外更安全。
(2)域名的注册人名称和注册人邮箱是域名拥有权的重要依据,最好填真实的信息,如果填虚假的信息,一旦域名被盗将很难拿回。很多人担心泄露信息而填写假的信息,如果是这样的话不如用一个至亲的名字,这样就算被盗还是可以拿到真实的证件去申诉回域名。
(3)很多人的域名注册人邮箱就是用该域名本身创建的邮件地址,然后该域名却不创建邮件服务器,以为这样对方就永远拿不到域名的注册人邮箱,从而保证域名无法被转出。其实不然,一旦域名管理帐户被盗,域名的所有信息就都可以改掉,到那时由于无法用域名注册邮箱来进行申诉,便很难拿回域名。而且由于该域名未创建邮件服务器,当域名或帐户信息被修改时也收不到通知。还有的用自己的另一个域名的邮箱地址,例如a.com的域名注册邮箱是admin@b.com,然后b.com的域名注册邮箱又是admin@a.com,这样一旦其中一个域名被盗了,将导致另一个域名也一起被盗。
(4)基于上面那条,我认为还是用第3方的邮箱比较好,但是邮箱一定要绑定手机,开通收件通知功能,邮箱的注册资料最好也是真实的,这样一旦邮箱被盗,可以通过证件先将邮箱取回。
(5)开通域名信息保护功能可以让黑客不知道域名的注册人邮箱,但是并不能保证域名不被盗。zhibo8就是一个活生生的例子,他们的域名信息自2010年开始就上了保护,可是最终还是被盗,然后被转出注册商。我猜测可能也是因为域名管理帐户被盗而导致这样的结果。而开通了保护之后,万一被盗就无法取得whois历史记录,来证明被盗之前该域名的信息是自己的,因此有利有弊。
(6)定期检查域名管理帐户和域名信息,域名管理帐户的密码要经常更换,且不能与其他密码相同。有人说只要每隔2个月把域名的注册人地址改一下,就可以防止域名被盗,其实不然,首先域名注册人地址改变,不会触发60天禁止转出规则,一定要改注册人名称或注册人邮箱。其次,就算60天内不能转出,但是黑客依然可以在注册商内部过户,而域名的控制权依赖于注册商网站上的域名管理帐户。
(7)域名注册成功、转移、续费等记录都要保存好,万一将来有什么意外,这些都是有力的证据。
(8)由于现在ICANN对于域名交易没有明确的政策,如果打算做站的话,从长远考虑还是自己注册域名更安全一点。如果一定要买域名,一定要与对方签定合同,并保留对方的身份证件等信息。
(9)有条件的话可以给自己的域名注册一个最相关的商标,万一真的被盗还可以通过域名仲裁来拿回。
(10)互联网没有绝对的安全,任何时候都不要放松警惕,一定要相信有那么一个人一直想打你的主意,他在暗处秘密的盯着你的一举一动,到处搜集你的信息,一有机会他便会乘虚而入拿走你的域名。
若是不小心域名已经被盗了,应尽可能与注册商申诉来解决,这是拿回域名最好的途径,如果注册商不受理也不要轻易放弃,只要肯坚持下去,说不定会像我这样突然出现转机。关于拿回域名我也总结了几点经验。
(1)发觉域名被盗之后不要马上去联系注册商,因为此时一般人都会比较急噪,什么都没了解清楚就去联系注册商,只说我域名被盗了,注册商一般都不会受理,一旦注册商最开始拒绝了,后面的答复就可能坚持不受理了。我认为我这次就是吃了这个亏。
(2)发觉域名被盗之后首先要做的应该是了解黑客盗走域名的详细过程。如果邮箱被盗的话还应先拿回邮箱。
(3)如果是域名管理帐户被盗应先拿帐户,能通过密保取回最好,不然的话就联系注册商,只说帐户被盗,先不要说域名的事,因为拿回帐户对于他们来说更容易受理。我这次第一封邮件发过去就说我域名和帐户都被盗了,请他们帮我,他们当然会拒绝我了,这也是我的教训。
(4)收集整理相关证据,如域名注册邮件、续费记录、域名历史whois记录、网站程序和历史页面截图等等。假如是国外的注册商,还应立即去准备护照和身份证翻译件。
(5)将域名被盗的全部过程详细的写下来,一定要周密。然后请一个律师以非常正式的律师涵的形式发到注册商那边,附带上相关证据和证件。如果发了律师函也不受理,可以尝试去ICANN那边投诉,由ICANN来跟进,事情可能会出现转机。
(6)假如域名已从原注册商转到了新的注册商,也应该先联系原注册商那边,不要去联系新注册商。只要原注册商这边认定你的域名转出是非法的,他们就会与新注册商那边协商转回。
(7)与注册商那边联系时的态度一定要好,无论是邮件还是电话,最好带恳求的语气。注册商那边一两天没有答复也不要着急,如果每天都发邮件去催问,惹烦了他们后可能就不会再理你了。
(8)假如是国内的注册商,可以去公安局报警要求立案,立案之后公安局可以要求注册商配合调查,例如查询操作时的IP等等。假如接案的警官不愿意受理,多换几个警官甚至换别的公安局报案,总有一个会受理的。
(9)如果其他办法都行不通了,最后可以考虑走域名仲裁,只要投诉书写得好,有条有理,且证据材料齐全,仲裁的胜算也是有的。
(10)申诉的过程不管多么艰难都不要轻易放弃,不到最后关头,就一定还有希望。要有坚定的信念,坚信最后一定能拿回来的,一定要多想象域名拿回来后的情形。其实我在还未拿回域名的时候,就已经开始构思本文了,因为我心中一直守着这个信念,就算是在最绝望的时候,我还是经常想象我拿回域名的情形。
我还想呼吁广大站长和米农们,都能去ICANN网站上提交下建议(http://www.icann.org/en/contact),建议他们建立完善的域名过户政策。为什么自行车极易被盗而汽车却没那么容易,因为自行车不需要实名购买,也没有任何过户手续。而汽车每一台都有唯一的发动机编号,有严格的过户手续,且必须出示双方的身份证件,就算被盗了也很容易追回,而房屋就更不用说了。域名容易被盗也是因为没有任何过户的手续,仅凭一个密码就可以随意过户,方便是方便了,但也极不安全。全世界现在也没有专门针对域名的保护法律,要想立法不知道要等到什么时候,所以我们只能去给ICANN建议,这相对来说更容易实现些。假如说域名过户政策规定,过户双方必须签定正式的合同,相互保留对方身份证件和联系方式,这样的话域名会安全得多。尽管以后买卖域名的流程更复杂了,但是谁也不想自己今天买个域名,明天就被申诉回去吧,谁也不想自己做站好几年的域名,哪天突然就成了他人的囊中之物吧。域名过户政策一天不出台,域名盗窃案就一天也不会停。
感谢全部看完本文的所有人。
文章转载来自:http://www.williamlong.info/info/archives/664.html
本文来自:梧桐雨软件园转载自网络,转载请注明出处。
不错的文章,分享一下
分析的很透彻,很欣赏你的看法,学习了。
佩服,佩服,可以转载吗?
分析的很透彻,很欣赏你的看法,学习了。
好文章,内容雷霆万钧.禁止此消息:nolinkok@163.com