V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
牛客网
herozzm
V2EX  ›  DNS

域名居然可以被人免费试用半年之久

  •  
  •   herozzm · 35 天前 · 5168 次点击
    这是一个创建于 35 天前的主题,其中的信息可能已经有所发展或是发生改变。

    具体是这样的:半年前我在 nameslio 上注册了一个域名,然后将 dns 改成 dnspod 的域名后就没管它,今天来使用绑定在 dnspod 时候提示被人使用中,需要修改一个 txt 记录取回,当我取回后发现提示该域名在 dnspod 上有违规被封禁,完蛋,新域名就死于胎中,

    发现 dnspod 有个漏洞,如果别人将域名 dns 改成 dnspod,dnspod 的任意账户都可以接入

    31 条回复    2020-09-21 12:34:51 +08:00
    Lentin
        1
    Lentin   35 天前
    这个不是 dnspod 的漏洞,是你没有认领导致的、、
    Ptu2sha
        2
    Ptu2sha   35 天前
    上次我记得有个小哥发过类似的系统 控制别人的域名
    herozzm
        3
    herozzm   35 天前
    @Lentin 我不认领并不代表我不要啊,也不能给别人啊
    just1
        4
    just1   35 天前
    dns 都改了不就代表确认了吗,请问还有什么方式可以确认是你
    你在哪家都这样
    herozzm
        5
    herozzm   35 天前
    @just1 我觉得可以在原 dns 上加一条 txt 记录和你的 dnspod 对应,验证成功方可接入,和取回原理一直
    chinvo
        6
    chinvo   35 天前   ❤️ 1
    @herozzm #5 有一些服务商自己不提供 dns,这种时候该咋“加一条记录”

    而注册局端的 NS 记录,是可以设置为空的,如果自己决定要久悬不用,为啥不设为空值

    所以这个不是 DNS 服务商的漏洞,而是域名持有者个人疏忽
    herozzm
        7
    herozzm   35 天前
    @chinvo
    @just1
    如果我修改了 dns 的地址,结果在 dnspod 上有人之前一步绑定,我没抢赢怎么办
    just1
        8
    just1   35 天前
    @herozzm #7 就像你这样办
    herozzm
        9
    herozzm   35 天前
    凉拌了,换域名
    Rhinecho
        10
    Rhinecho   35 天前 via iPhone
    dnspod 上有违规又不影响你用 alidns nsone route53 constellix cloudflare dnsmadeeasy azuredns cloudns misakaio
    换个 dns 提供商就行了
    herozzm
        11
    herozzm   35 天前
    @Rhinecho 估计被人用成黑历史了,对自己网站估计有影响,不敢用了,只能换新
    Rhinecho
        12
    Rhinecho   35 天前 via iPhone
    @herozzm 是指搜索引擎的收录吗,那应该是有的...
    herozzm
        13
    herozzm   35 天前
    @Rhinecho 嗯 是的,因为不确定它是怎么违规的,估计是黑产
    opengps
        14
    opengps   35 天前 via Android
    算不上漏洞。但是能被人成功接管走,确实需要反思下是不是泄露了什么数据
    imdong
        15
    imdong   35 天前
    黑灰产惯用手法,这个基本上正确做法是先在 DNS 添加域名,然后在修改注册商这边的 DNS 。

    在群里和官方反馈过,基本无解。他们也只能监控异常账户进行封禁。
    laoyur
        16
    laoyur   35 天前
    以前有个老哥来这卖这个方案的,刷 CF 的接入
    Maskeney
        17
    Maskeney   35 天前
    “NS 指向 DNSPOD 之后就没管它”
    sheeta
        18
    sheeta   35 天前   ❤️ 1
    所有这个时候 cloudflare 的优点就体现出来了
    zsdroid
        19
    zsdroid   35 天前
    注册了就没管它??土豪还缺朋友吗?
    masker
        20
    masker   35 天前 via Android
    遇事不决网站漏洞?
    chinvo
        21
    chinvo   35 天前
    @opengps #14 已注册的域名都是能查 whois 的,有一些人就脚本刷这种“漏洞”域名
    hatebugs
        22
    hatebugs   35 天前 via Android
    你自己买的域名后修改下 ns 呀,不然有这种可能
    mschultz
        23
    mschultz   35 天前
    Cloudflare 优点体现出来了 +1

    What's the story behind the names of CloudFlare's name servers?

    https://blog.cloudflare.com/whats-the-story-behind-the-names-of-cloudflares-name-servers/
    iburu
        24
    iburu   35 天前 via Android
    h
    mcone
        25
    mcone   35 天前   ❤️ 1
    大概几年前我见过有一个老哥在 V 站“卖”自己的 AdSense 域名群的,域名数量巨大,收益明显不够域名的成本,被人追问遮遮掩掩,十有八九是薅你这种人羊毛的……
    你要是能找到那个帖子联系到楼主,搞不好还能在 list 里面见到自己的域名……哈哈
    anguiao
        26
    anguiao   35 天前
    确实是,我以前也碰过类似的情况
    o0
        27
    o0   35 天前
    这就好比把自己家钥匙插门上不管它,大概率是有可能会进贼的。
    jiangzm
        28
    jiangzm   35 天前
    是都可以添加,但是能验证成功的只有 owner,这叫哪门子漏洞?
    nbweb
        29
    nbweb   35 天前
    买来的域名,第一时间改 ns 。
    tankeji
        30
    tankeji   35 天前
    我一直觉得这个接入不对
    misty8873
        31
    misty8873   34 天前
    因为你之前别人也有用过这个域名,到期了 人家也没有删除罢了。。。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3839 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 04:12 · PVG 12:12 · LAX 21:12 · JFK 00:12
    ♥ Do have faith in what you're doing.