Re: 天上人间动漫网域名被盗及拿回始末(GoDaddy安全机制存在严重漏洞)
经历过这次域名被盗,我得到了许多的经验、教训和感悟,正所谓塞翁失马,焉知祸福呢。每个人的一生中都会碰到各种磨难,挫折或是天灾人祸,就像是命中注定一样,躲都躲不掉。平时为人处事应尽量低调,坚持不做恶原则,伤天害理的事情绝对不能做,尽量乐善好施,力所能及的去帮助那些比自己更困苦的人。如果觉得自己过得不幸福,就多想想那些比自己更困苦的人们,比如清洁工、小摊贩等等,他们才是这个社会最底层的人。这样即使某天身陷囹圄,面临凶险之境地,最终也能逢凶化吉,化险为夷。这次我能平安度过难关,尽管我自己确实付出了巨大的努力,但也不排除有某种未知的力量在推动着,才使得事情出现了180度的转机,不管是否真的有神灵存在,今后我都将在慈善方面做得更多,尽可能的去帮助他人。
我花了几天时间写完这个帖子,一来为了记录下自己这段时间以来的经历和心情,将来有一天若是再碰到了其他的天灾人祸,回过头来想一想,曾经这么大的劫难我都挺过来了,其他的又算得了什么。二来我想现在或是将来一定还会有人被盗域名,当他们看到我这个帖子时,或许能给予他们一些帮助或是鼓舞,希望他们也都能顺利的拿回自己的域名。当我域名被盗时也是满网络的找解决办法,后来幸亏找到了“爱晴皇岛”的教程,才让我了解了大致的申诉流程,我能拿回来得益于别人的帮助,因此现在我也把我的经历写出来,希望也能帮助到别人。
最后我想再写点关于域名保护方面的建议,也可以说是我的经验和教训。
(1)类似GoDaddy这样的安全机制对于域名的保护非常脆弱,一旦域名管理帐户被盗或域名的注册人邮箱被盗,域名都将失去任何保护。我认为最少应该在更换域名邮箱、过户、转出、修改DNS等重要操作时再加一道密码验证,而且这个密码应该不能与域名管理帐户的登陆密码相同。另外重要操作发生后,应该给密保邮箱或域名注册人邮箱发送二次验证邮件,验证过后才能修改生效,而不是在修改之后才发封通知邮件。不过这些安全措施还是无法彻底防止域名被盗,一旦邮箱被盗这些措施都将失去作用。因此最有效的措施可能是与手机绑定,每个重要操作前系统都给绑定的手机发送验证码,只有输入这个验证码才能继续操作。这样的话域名就会安全得多,毕竟很少会有黑客盗取了对方邮箱或帐户后还能偷到对方手机。国外的域名注册商好象没听说哪家可以绑定中国手机的,而国内的话我现在使用的易名可以绑定手机,而且过户转出操作都需要手机验证码,因此我认为从防止域名被盗的角度上讲目前国内的注册商反而比国外更安全。
(2)域名的注册人名称和注册人邮箱是域名拥有权的重要依据,最好填真实的信息,如果填虚假的信息,一旦域名被盗将很难拿回。很多人担心泄露信息而填写假的信息,如果是这样的话不如用一个至亲的名字,这样就算被盗还是可以拿到真实的证件去申诉回域名。
(3)很多人的域名注册人邮箱就是用该域名本身创建的邮件地址,然后该域名却不创建邮件服务器,以为这样对方就永远拿不到域名的注册人邮箱,从而保证域名无法被转出。其实不然,一旦域名管理帐户被盗,域名的所有信息就都可以改掉,到那时由于无法用域名注册邮箱来进行申诉,便很难拿回域名。而且由于该域名未创建邮件服务器,当域名或帐户信息被修改时也收不到通知。还有的用自己的另一个域名的邮箱地址,例如a.com的域名注册邮箱是admin@b.com,然后b.com的域名注册邮箱又是admin@a.com,这样一旦其中一个域名被盗了,将导致另一个域名也一起被盗。
(4)基于上面那条,我认为还是用第3方的邮箱比较好,但是邮箱一定要绑定手机,开通收件通知功能,邮箱的注册资料最好也是真实的,这样一旦邮箱被盗,可以通过证件先将邮箱取回。
(5)开通域名信息保护功能可以让黑客不知道域名的注册人邮箱,但是并不能保证域名不被盗。zhibo8就是一个活生生的例子,他们的域名信息自2010年开始就上了保护,可是最终还是被盗,然后被转出注册商。我猜测可能也是因为域名管理帐户被盗而导致这样的结果。而开通了保护之后,万一被盗就无法取得whois历史记录,来证明被盗之前该域名的信息是自己的,因此有利有弊。
(6)定期检查域名管理帐户和域名信息,域名管理帐户的密码要经常更换,且不能与其他密码相同。有人说只要每隔2个月把域名的注册人地址改一下,就可以防止域名被盗,其实不然,首先域名注册人地址改变,不会触发60天禁止转出规则,一定要改注册人名称或注册人邮箱。其次,就算60天内不能转出,但是黑客依然可以在注册商内部过户,而域名的控制权依赖于注册商网站上的域名管理帐户。
(7)域名注册成功、转移、续费等记录都要保存好,万一将来有什么意外,这些都是有力的证据。
(8)由于现在ICANN对于域名交易没有明确的政策,如果打算做站的话,从长远考虑还是自己注册域名更安全一点。如果一定要买域名,一定要与对方签定合同,并保留对方的身份证件等信息。
(9)有条件的话可以给自己的域名注册一个最相关的商标,万一真的被盗还可以通过域名仲裁来拿回。
(10)互联网没有绝对的安全,任何时候都不要放松警惕,一定要相信有那么一个人一直想打你的主意,他在暗处秘密的盯着你的一举一动,到处搜集你的信息,一有机会他便会乘虚而入拿走你的域名。