由于缺乏相關(guān)法律保護(hù)，域名被盜之后，唯一的辦法是找域名注冊(cè)商申訴，因?yàn)楣簿趾头ㄔ和ǔ６疾粫?huì)受理。而也沒(méi)有任何規(guī)定顯示域名注冊(cè)商必須對(duì)域名被盜負(fù)責(zé)，由于每天接到的申訴過(guò)多，域名注冊(cè)商為了避免承擔(dān)不必要的風(fēng)險(xiǎn)，通常都會(huì)拒絕域名注冊(cè)人的申訴，并讓他們?nèi)?bào)案或去法院訴訟，相互踢皮球。所以說(shuō)現(xiàn)在域名基本上處于三不管的境地，一旦被盜，能找回來(lái)的寥寥無(wú)幾，要想保護(hù)域名只能依靠自己。

 

　　筆者的個(gè)人網(wǎng)站創(chuàng)立于2005年初，其實(shí)早在2007年2月份域名就曾被盜過(guò)。域名是在新網(wǎng)的一家代理商注冊(cè)的，新網(wǎng)是當(dāng)時(shí)國(guó)內(nèi)兩大域名注冊(cè)商之一。當(dāng)時(shí)本人已有十幾個(gè)重要的地方需要用到密碼，如QQ、郵箱、服務(wù)器、FTP、網(wǎng)銀等等。由于密碼多了自己也老是忘記，為了記憶方便，我將兩兩不相關(guān)的地方設(shè)置為相同的密碼，例如當(dāng)時(shí)網(wǎng)站主服務(wù)器的登陸密碼，與我域名管理郵箱的密碼相同。這樣做也是為了避免某一處密碼泄露導(dǎo)致所有東西淪陷。誰(shuí)知道當(dāng)時(shí)那個(gè)黑客入侵了網(wǎng)站服務(wù)器，通過(guò)后門(mén)程序獲得了網(wǎng)站服務(wù)器的密碼，他或許是拿著這個(gè)密碼將我所有地方都試了一遍，最終郵箱也被盜。之后他再通過(guò)這個(gè)域名管理帳戶的密保郵箱，取回了域名管理帳戶的密碼，然后進(jìn)入域名管理平臺(tái)，將域名轉(zhuǎn)出了該代理商的系統(tǒng)，過(guò)戶到了他自己的新網(wǎng)帳戶下面，域名的注冊(cè)人名稱和注冊(cè)人郵箱地址也全被改了。后來(lái)我通過(guò)身份證和部分郵件(用了foxmail，郵件存在了電腦上)向網(wǎng)易申訴，拿回了郵箱，然后再聯(lián)系那家代理商，可是代理商卻說(shuō)域名已不在他們系統(tǒng)內(nèi)，他們無(wú)權(quán)操作，要我聯(lián)系新網(wǎng)。我聯(lián)系了新網(wǎng)，得到的答復(fù)卻是無(wú)法受理。后來(lái)經(jīng)過(guò)多次聯(lián)系，新網(wǎng)那邊終于答應(yīng)受理，但需要那家代理商出具證明，證明該域名是我本人在他們那邊注冊(cè)的。為了取得該證明，我提供了域名注冊(cè)成功的郵件，域名注冊(cè)時(shí)的銀行打款記錄，域名續(xù)費(fèi)時(shí)的打款記錄等等，連同身份證一起發(fā)了過(guò)去。經(jīng)過(guò)艱難的努力，最終終于拿回來(lái)了域名。事后我給新網(wǎng)的楊經(jīng)理發(fā)了封感謝信。

 

　　自那之后，我認(rèn)識(shí)到密碼安全的重要性和嚴(yán)重性。我開(kāi)始使用密碼本保存密碼，每個(gè)地方密碼都不同，但隨著時(shí)間的推移，互聯(lián)網(wǎng)上需要用到密碼的地方越來(lái)越多，不可能每個(gè)都使用密碼本保存，每次輸入起來(lái)也會(huì)不方便，于是我將密碼分為3個(gè)等級(jí)，最初級(jí)的通常是一些臨時(shí)性的帳號(hào)，例如到某論壇去下個(gè)東西，卻發(fā)現(xiàn)必須登陸，于是隨手注冊(cè)一個(gè)帳號(hào)，這個(gè)帳號(hào)就算被盜對(duì)我沒(méi)有任何損失，但這個(gè)地方或許將來(lái)我還會(huì)再來(lái)，所以這類帳號(hào)我統(tǒng)一用一個(gè)相對(duì)比較簡(jiǎn)單又容易記憶的密碼。中級(jí)密碼用在那些我經(jīng)常要去的地方，且這些帳號(hào)即使被盜了也不會(huì)對(duì)我造成太大的損失，或者說(shuō)我可以通過(guò)密保輕松的拿回來(lái)，所以這些地方我統(tǒng)一設(shè)置一個(gè)較復(fù)雜的密碼。最高級(jí)別的密碼是那些非常重要的地方，如QQ，郵箱，網(wǎng)銀等等，我每個(gè)都設(shè)置不同的密碼，密碼同時(shí)包含數(shù)字+大小寫(xiě)字母+特殊符號(hào)，并且經(jīng)常更換，但輸入起來(lái)也非常麻煩，如今這類密碼都已經(jīng)有超過(guò)50個(gè)了。

 

　　2009年國(guó)內(nèi)打擊低俗網(wǎng)站，由于低俗沒(méi)有明確的標(biāo)準(zhǔn)，當(dāng)時(shí)大批網(wǎng)站被殃及，有些網(wǎng)站的域名甚至直接被域名注冊(cè)商給鎖了，由于域名放在國(guó)內(nèi)，只要通信管理局下個(gè)通知給注冊(cè)商，注冊(cè)商就會(huì)把域名HOLD處理，這個(gè)域名就徹底無(wú)法使用了，一時(shí)間搞得人心惶惶。為了域名安全，我在那時(shí)將網(wǎng)站的其中一個(gè)域名轉(zhuǎn)移到了美國(guó)最大的域名注冊(cè)商GoDaddy。2010年GoDaddy支持了支付寶，付款和續(xù)費(fèi)都更方便了，于是我又陸續(xù)將幾個(gè)未建站的域名轉(zhuǎn)了過(guò)去。有一次我試圖修改一下某個(gè)域名的注冊(cè)信息，結(jié)果GoDaddy馬上給我的郵箱發(fā)來(lái)驗(yàn)證郵件，要求我回復(fù)該郵件或點(diǎn)擊里面的鏈接，才會(huì)將新的信息更新到域名上，如果我沒(méi)回復(fù)也沒(méi)點(diǎn)擊鏈接，那么對(duì)域名的修改就會(huì)無(wú)效，這封確認(rèn)郵件至今還保存在我的郵箱內(nèi)。正是由于這次的操作，讓我誤以為GoDaddy的安全機(jī)制很好，因此沒(méi)有對(duì)我在GoDaddy的帳戶引起重視，我將GoDaddy帳戶的密碼等級(jí)列為了中級(jí)，然后一門(mén)心思放在了保護(hù)好郵箱上面。誰(shuí)也不會(huì)料到將來(lái)某天GoDaddy會(huì)取消這種驗(yàn)證機(jī)制。

 

　　鑒于之前轉(zhuǎn)入GoDaddy的幾個(gè)域名一直都挺安全，而國(guó)內(nèi)的局勢(shì)又比較動(dòng)蕩，經(jīng)常傳聞?dòng)忠_(kāi)始嚴(yán)打，于是在2011年我將自己網(wǎng)站的主域名也從新網(wǎng)轉(zhuǎn)到了GoDaddy，至此我的GoDaddy帳戶內(nèi)已經(jīng)有5個(gè)域名了。

 

　　大多數(shù)域名被盜的情況可能都是由于域名注冊(cè)郵箱先被盜，繼而導(dǎo)致域名被盜，因此保護(hù)郵箱安全是保證域名安全的最重要的措施。經(jīng)歷第一次域名被盜后，我立即給郵箱上了多重保護(hù)，例如實(shí)名認(rèn)證，捆綁手機(jī)，郵箱改密通知，收到郵件短信通知等等，郵箱密碼我還經(jīng)常換。我想我的安全意識(shí)已經(jīng)夠強(qiáng)了吧，自從2007年之后我密碼本上的那些帳號(hào)還一次都沒(méi)有被盜過(guò)。沒(méi)想到這次會(huì)陰溝里翻船，這一次域名被盜可能是由多方面原因造成的，我自己的疏忽，該黑客的精明，GoDaddy的漏洞以及各種巧合，現(xiàn)在想來(lái)，這或許就是命中注定該有此一劫。

 

　　2011年底，CSDN等網(wǎng)站發(fā)生密碼泄露，而本人在CSDN上的帳號(hào)和密碼與GoDaddy上的一模一樣。前面說(shuō)了由于以前的一次修改操作，GoDaddy發(fā)來(lái)驗(yàn)證郵件，因此我只將GoDaddy帳戶的密碼等級(jí)列為了中級(jí)，與CSDN等網(wǎng)站采用相同的帳號(hào)密碼。CSDN泄密事件爆出來(lái)后，我也沒(méi)想到要去改下GoDaddy的帳戶密碼，一方面我以為應(yīng)該不會(huì)有人盯上我，另一方面，在那時(shí)我看來(lái)，就算黑客進(jìn)入了我的GoDaddy帳戶，他想改我域名的任何信息都必須經(jīng)過(guò)我郵箱的驗(yàn)證，我只要保護(hù)好郵箱，并且不回GoDaddy發(fā)的郵件，不點(diǎn)擊郵件中的任何鏈接，他就盜不走我的域名。

 

　　2012年2月22日，我的郵箱中收到了一封來(lái)自GoDaddy的郵件，我看了前面幾句意思是說(shuō)我的帳戶信息被修改了，但沒(méi)說(shuō)具體什么被改了。然后下面大片大片的英文，我猜想可能是GoDaddy的修改驗(yàn)證郵件，只要我不回，不點(diǎn)鏈接肯定沒(méi)事，于是我也沒(méi)仔細(xì)看。不過(guò)考慮到域名安全的重要性，我當(dāng)時(shí)還是立即登陸了一下我的GoDaddy帳戶，很正常的進(jìn)去了，檢查了一下帳戶，沒(méi)發(fā)現(xiàn)啥被修改，域名也都還在，域名信息都正確。于是我更加確定那封郵件是來(lái)驗(yàn)證修改操作的了，本來(lái)想給帳戶換個(gè)密碼，但是GoDaddy的服務(wù)器在美國(guó)，我們這邊要打開(kāi)都很慢，當(dāng)時(shí)點(diǎn)了幾下網(wǎng)頁(yè)都給卡死了，于是就放棄了，我想著大不了下次再來(lái)改吧，這件事就這么忽略過(guò)去了。

 

　　通常情況下，網(wǎng)站站長(zhǎng)不需要頻繁的登陸域名管理系統(tǒng)，如果不需要對(duì)域名進(jìn)行什么修改的話，長(zhǎng)時(shí)間不登陸也很正常。我一般一個(gè)月左右檢查一次GoDaddy帳戶和域名，不過(guò)假如去登陸的時(shí)候剛好碰上GoDaddy的網(wǎng)站打不開(kāi)，那么少檢查一次在我看來(lái)也不是什么大事。3月底的時(shí)候我打算再去看一下我的帳戶和域名，可是半天打不開(kāi)GoDaddy的網(wǎng)站。而自從2月22日之后GoDaddy沒(méi)有再給我發(fā)來(lái)任何郵件，于是我估計(jì)那個(gè)黑客可能認(rèn)為改不了我任何信息，于是就放棄了吧。我用第三方whois功能查詢了我的所有域名，信息都是正確的，于是這次我雖然沒(méi)進(jìn)入到我的GoDaddy帳戶中去，但我認(rèn)為我的帳戶和域名還是安全的。

 

　　直到4月16日晚上的時(shí)候，我才無(wú)意中發(fā)現(xiàn)我的所有域名已經(jīng)被盜，域名的注冊(cè)人、注冊(cè)郵箱都已全部被改。我立即意識(shí)到出大事了，趕緊登陸GoDaddy帳戶，卻提示密碼錯(cuò)誤。然后使用GoDaddy網(wǎng)站提供的取回密碼功能，卻提示郵箱地址不正確，說(shuō)明GoDaddy帳戶被盜后，連密保郵箱也已被換了。剛發(fā)現(xiàn)的時(shí)候我都不敢相信自己的眼睛，一直查詢了很多遍，并且在登陸GoDaddy帳戶時(shí)提示了好幾次密碼錯(cuò)誤，我才確認(rèn)域名已被盜。頓時(shí)間我感覺(jué)天塌下來(lái)一樣，整個(gè)人都呆若木雞了。我實(shí)在想不通該黑客是如何盜走我的域名的，因?yàn)槲业泥]箱內(nèi)自從2月22日之后再?zèng)]收到過(guò)GoDaddy的郵件，按照我之前的理解，黑客改我的帳戶信息或域名信息時(shí)，GoDaddy應(yīng)該給我發(fā)送驗(yàn)證郵件的，只有我確認(rèn)過(guò)了，修改才能生效。難道是我的郵箱已被盜嗎?我立即登陸郵箱，查詢了郵箱近期登陸記錄，自2月22日開(kāi)始到現(xiàn)在，所有登陸IP都是我本人的，說(shuō)明郵箱沒(méi)有被盜。而且即使真的郵箱被盜，我手機(jī)肯定會(huì)收到短信通知的。

 

　　我查詢了域名的whois信息，發(fā)現(xiàn)我的5個(gè)域名的最后更新時(shí)間(Last Update)都是4月8日，我再查詢域名的whois歷史記錄，5個(gè)域名在4月8日之前的信息都還是我本人的，4月8日之后就都是那個(gè)黑客的了。因此可以確定這5個(gè)域名都是在同一天(4月8日)被過(guò)戶的，但該黑客過(guò)戶后并沒(méi)有更換域名的DNS服務(wù)器，也就是沒(méi)有改域名的解析，所以我的網(wǎng)站一直都能正常打開(kāi)，沒(méi)有任何人知道網(wǎng)站的域名已經(jīng)被盜，這也是導(dǎo)致我到4月16日才發(fā)現(xiàn)的原因。

 

　　4月16日當(dāng)晚，我百度搜索“godaddy 被盜”，發(fā)現(xiàn)網(wǎng)上已有許多類似的案例。就在前不久，4月1日愚人節(jié)，國(guó)內(nèi)著名體育賽事直播網(wǎng)站“直播吧”(zhibo8.com)宣布域名被盜，很多人甚至以為是愚人節(jié)玩笑。黑客已經(jīng)仿制了“直播吧”原網(wǎng)站，并修改了DNS服務(wù)器，黑客在他自己的這個(gè)“直播吧”網(wǎng)站上掛滿了賭球和博彩廣告，而網(wǎng)友們卻還以為是原直播吧的站長(zhǎng)掛的廣告，因?yàn)閷?duì)于他們來(lái)說(shuō)這個(gè)“直播吧”網(wǎng)站沒(méi)有什么太大變化，只有廣告換了而已。16天過(guò)去了，zhibo8.com依然沒(méi)有拿回來(lái)，看來(lái)我的情形也不容樂(lè)觀。

 

　　現(xiàn)在我的域名被盜了，我必須立即聯(lián)系域名注冊(cè)商GoDaddy，這是拿回域名的唯一途徑，可是我都不知道該如何聯(lián)系他們，GoDaddy網(wǎng)站上提供了電話，可是我英文又不好，打過(guò)去也說(shuō)不上話。后來(lái)我找到了“愛(ài)晴皇島”的那篇著名的GoDaddy域名被盜找回教程，教程里面說(shuō)帳戶或域名被盜后15天以內(nèi)為申訴期，在15天內(nèi)聯(lián)系GoDaddy并提交相關(guān)證據(jù)，就能撤消之前的變更。

 

　　按照教程里提供的聯(lián)系郵箱地址，4月17日凌晨我給GoDaddy的撤消部門(mén)(undo@godaddy.com專門(mén)處理域名修改撤消操作的部門(mén))去了第一封郵件，告訴他們我的帳戶和域名在4月8日都被盜了，請(qǐng)求他們幫助我。第2天他們答復(fù)我了，答復(fù)內(nèi)容在我意料之中，但還是令我非常沮喪。他們說(shuō)任何域名的爭(zhēng)議都應(yīng)由域名仲裁機(jī)構(gòu)或法院來(lái)解決，他們作為域名注冊(cè)商無(wú)權(quán)處理域名爭(zhēng)議。不過(guò)我還注意到他們說(shuō)了一句關(guān)鍵的話，“由于該變更已發(fā)生太久時(shí)間，我們無(wú)法幫助你”。按照教程里說(shuō)的，15天以內(nèi)是申訴期，我域名8號(hào)被盜，我17號(hào)凌晨(美國(guó)當(dāng)?shù)貢r(shí)間應(yīng)該是16號(hào)白天)聯(lián)系他們，才過(guò)去8天不到，為什么他們會(huì)說(shuō)變更已發(fā)生太久呢，我立即回信對(duì)他們解釋。第2封信中我說(shuō)，“我昨天一發(fā)現(xiàn)域名被盜就立即聯(lián)系了你們，這距離4月8日域名被盜僅僅過(guò)去一星期時(shí)間，由于該黑客沒(méi)有修改掉域名的DNS服務(wù)器，我的網(wǎng)站至今都能正常訪問(wèn)，導(dǎo)致我沒(méi)有及時(shí)發(fā)現(xiàn)域名被盜。而且，我的郵箱內(nèi)沒(méi)有收到任何GoDaddy發(fā)來(lái)的通知郵件，否則我將更早發(fā)現(xiàn)被盜。這些域名對(duì)我非常重要，我請(qǐng)求你們幫助我，我有足夠的證據(jù)能證明這些域名都是我的”。由于英文不好，我借助谷歌翻譯和金山詞霸，一字一句的把這些話翻譯成英文，給他們發(fā)過(guò)去。第2天，4月19日凌晨他們給我的答復(fù)非常簡(jiǎn)練，就一句話，“同前面說(shuō)的一樣，由于該變更已發(fā)生太久時(shí)間，我們無(wú)法幫助你”。

 

　　我很不服氣，因?yàn)槲矣X(jué)得作為網(wǎng)站的管理者不可能天天沒(méi)事去查自己的域名whois信息，天天去登陸域名管理帳戶。假如黑客盜走了域名卻不修改域名DNS，網(wǎng)站的管理者根本很難發(fā)覺(jué)域名被盜。我能在8天之內(nèi)發(fā)現(xiàn)被盜，也純屬運(yùn)氣，剛好那天突發(fā)奇想去查一下whois信息，要不然一個(gè)月之后才發(fā)現(xiàn)也很有可能�，F(xiàn)在我在15天的期限內(nèi)聯(lián)系他們，他們?yōu)槭裁匆芙^我的申訴呢。于是第3封郵件我略帶質(zhì)問(wèn)的口氣問(wèn)他們，為什么我在15天的期限內(nèi)聯(lián)系你們，你們卻不受理。我請(qǐng)求你們對(duì)我的域名展開(kāi)調(diào)查，我相信我能提供所有的證據(jù)。30分鐘后他們就答復(fù)我了，這次速度是有始以來(lái)最快的，但答復(fù)內(nèi)容也是最簡(jiǎn)練的：“再次申明，由于該變更已發(fā)生太久時(shí)間，我們無(wú)法幫助你”。

 

　　由于GoDaddy一直堅(jiān)稱變更已發(fā)生太久時(shí)間，我想我的域名可能在4月8日之前就已被盜。為了了解該黑客盜走域名的全過(guò)程，我自己開(kāi)始展開(kāi)調(diào)查。我又仔細(xì)的看了2月22日收到的那封郵件，里面寫(xiě)著我的帳戶信息已被修改了，如果這個(gè)修改不是我本人操作的可以與他們聯(lián)系。英文不好害死人啊，當(dāng)初沒(méi)有仔細(xì)看完這封郵件，以為是要我確認(rèn)操作呢，誰(shuí)知道它只是一封通知郵件，修改已經(jīng)生效了�？墒堑降资裁葱畔⒈桓牧�，這封信里沒(méi)說(shuō)。2月22日我登陸進(jìn)GoDaddy檢查了，沒(méi)發(fā)現(xiàn)問(wèn)題。那是因?yàn)樵摵诳驮谀翘熘恍薷牧藥舻拿鼙｀]箱，而帳戶密碼，聯(lián)系人信息，和域名等都沒(méi)動(dòng)。而密保郵箱在修改密碼頁(yè)面上，因此我那天檢查沒(méi)有發(fā)現(xiàn)密碼郵箱已經(jīng)被換掉了。

 

　　我又去查了域名whois歷史記錄，發(fā)現(xiàn)在3月10日之前的記錄里，52tian.net這個(gè)域名的最后更新時(shí)間(Last Update)都是2011-05-16，也就是我從新網(wǎng)轉(zhuǎn)入到GoDaddy的日期，而3月10日到4月8日這段時(shí)間內(nèi)的記錄顯示最后更新時(shí)間(Last Update)則是3月10日。其他幾個(gè)域名在這段時(shí)間內(nèi)的記錄里，最后更新時(shí)間(Last Update)也全是3月10日，除了這個(gè)日期字段變了以外，其他信息都未發(fā)生變化，都是我本人的信息。由此可以斷定，在3月10日這天該黑客對(duì)我的域名進(jìn)行了一個(gè)操作，這個(gè)操作沒(méi)有修改域名的任何信息，但卻使得域名的Last Update字段會(huì)被刷新。因?yàn)槲抑皩⒂蛎麖男戮W(wǎng)轉(zhuǎn)入到GoDaddy后，保持了域名信息不變，但Last Update卻被刷新了。所以可以確定，域名轉(zhuǎn)出注冊(cè)商的操作，可以實(shí)現(xiàn)不改域名的任何信息，但又刷新Last Update。而當(dāng)前我的幾個(gè)域名都還是在GoDaddy，并沒(méi)有被轉(zhuǎn)到其他注冊(cè)商去，所以3月10日黑客做的不是轉(zhuǎn)出操作，我猜測(cè)或許是注冊(cè)商內(nèi)部域名過(guò)戶操作，也叫域名PUSH。即將域名從一個(gè)域名管理帳戶轉(zhuǎn)給另一個(gè)域名管理帳戶，域名還是停放在GoDaddy，只是被轉(zhuǎn)到不同的帳戶下了。為了驗(yàn)證我的猜想，我特意在GoDaddy重新注冊(cè)了2個(gè)帳戶和1個(gè)域名，然后將該域名從原帳戶過(guò)戶到新帳戶，在過(guò)戶過(guò)程中，有2個(gè)選項(xiàng)，“保持域名信息不變”和“保持域名DNS服務(wù)器不變”，只要勾選了這2個(gè)選項(xiàng)，那么過(guò)戶之后域名的任何信息都不會(huì)變，只有Last Update被刷新。由此我可以斷定該黑客在3月10日同一天，將我GoDaddy帳戶內(nèi)的所有域名，過(guò)戶到了他自己的帳戶內(nèi)。

 

　　至此該黑客盜走的大致過(guò)程應(yīng)該是這樣，他先通過(guò)CSDN網(wǎng)站泄露出的用戶數(shù)據(jù)庫(kù)找到了我的帳戶和密碼，2月22日他拿著這個(gè)帳號(hào)和密碼去GoDaddy網(wǎng)站上試，結(jié)果他進(jìn)入了我的GoDaddy帳戶。為了避免打草驚蛇，他僅修改了我?guī)舻拿鼙｀]箱。3月10日，他見(jiàn)我還沒(méi)改密碼，密保郵箱也沒(méi)換回，他知道我還沒(méi)察覺(jué)他的行為，然后將所有域名過(guò)戶到他自己的帳戶內(nèi)。4月8日，他才將所有域名的信息換成他自己的，到此時(shí)他才終于完全獲得了域名的持有權(quán)。4月8日之后我猜想他可能在仿制我網(wǎng)站的程序，模仿界面和采集數(shù)據(jù)等，等到時(shí)機(jī)成熟再把域名的DNS服務(wù)器也換掉，把域名解析到他自己的服務(wù)器上，然后給網(wǎng)站掛上他自己的廣告。我可以想象，他的手段會(huì)和盜取zhibo8的那個(gè)黑客很像，不排除就是同一人的嫌疑。