51.com域名劫持案始末 - 三流艺术 - 苦歌

(这条文章已经被阅读了 173 次) 时间：2001-05-01 01:01:18 来源：苦歌 (苦歌) 原创-IT

2001年3月21日，“我要”电子商务网——51.com遭黑客攻击，并被恶意删除域名达一天之久，这是我国第一例涉嫌“域名劫持”的计算机犯罪事件，经有关部门通力协作，该网站所属域名现已被恢复，该网站业务也已恢复正常，此外，更令人兴奋的是他们还成功地追踪到了黑客的真面目，……
可疑邮件
“一个可怕的事情终于在我身上发生了”，51.com的域名持有人陈鹏回忆起当时的感觉还颇有心惊肉跳的感觉。
当时是下午4点多的时候，陈鹏照例在网站上工作，却突然发现网络异常，页面无法浏览，邮件也无法收发，断网，连网……，在尝试了很多不同帐号之后，6点零5分，终于与网络再次接通，可就在这时陈鹏在他的域名管理邮箱里发现了一封可疑邮件，此后所发生的一切都要从这封可疑邮件说起……

黑客惊兆
“看到这封通知域名管理帐号和密码的新邮件，我的心跳砰然加速，一种不详的预感油然而生”，陈鹏当时的心情您也许不太理解，但无论如何这封信是不应该收到的。
这是非常反常的现象！一般来说域名管理员只有在三种情况才会收到这种通知信，一是注册成功后服务器发出确认信；二是管理员忘记密码想取回密码的时候，在验证合格的情况下，服务器会应管理员的要求将信发到域名管理邮箱；第三种就是域名信息被修改后，服务器会自动发信，通知更改后的内容。
而这封来信是没有理由的，“近期根本没有发生过这些事情”，陈鹏对此非常肯定，那么这封来信就只能属于第四种可能性了——黑客！这是一个预兆，意味着有人在试图窃取51.com的域名管理帐号和密码，这是任何一个域名管理员都不愿想象也更不愿意去面对的事情，然而这种可怕的事情发生了，发生在陈鹏身上。

网站被黑
域名：51.com
域名管理登录密码：51helen
除此之外，信中还附带了域名管理的登录网址和域名管理者的权限。
不管是谁，一旦得到这些信息就等于得到了该域名的管理权，只要他愿意他就可以为所欲为：更改密码（原来管理员的密码将被作废），更改域名注册信息，把域名据为己有，甚至还可以删除域名，当然他也可以替原来的域名持有人交10年的服务费然后走人，不过黑客好像还没这么有幽默感。
“我当时非常不安，马上登陆我的域名管理界面查看”，这是陈鹏的第一反应。
——“密码不对”，计算机是丝毫不会理解陈鹏的心情的，不对就是不对。
“51helen”——密码不可能不对
“被黑了！密码被黑客改掉了！”——这是唯一的解释。
域名劫持
“可怕的预兆终于被证实了之后反倒没那么可怕了，我不知道该怎么做，心底的反应是想瘫倒到哪里躺着，看着天花板，呼吸！”

可就在这时——18点10分，陈鹏正手足无措的时候，他收到了另外一封域名管理信：

尊敬的用户您好

您的域名：51.com
您的域名管理登录密码：322xxxx
……

这正是刚才所说的“域名密码更改后，服务器会自动发信到域名管理信箱，通知更改后的信息”，陈鹏没改，那就只能是黑客改的了，“322xxxx”——这是黑客更改后的密码，于是他用这个密码登陆，密码果然正确，进去了！第一件事就是“更改密码”，把密码改成“51frank”, 黑客要是不知道这个密码，那他就再也进不来了，暂时安全！然而，接下来的检查，却让陈鹏大吃一惊——51.com原有域名注册信息已全部被修改了，本来属于陈鹏的域名已经被改成了“杨海军”，单位名称也改成了“杨海军”，
“单位名称是不能修改的，如果修改则等同于域名转让！！！”，
在注册信息下边的说明文字里明确的标明了这一点，这是真正意义上的“域名劫持”了，没有任何可怀疑的了，陈鹏赶紧把所有信息有改了回来，也许该结束了吧？
拉锯战
18点19分，
就在陈鹏把注册信息刚刚改完，觉得可以松一口气了的时候，域名管理信箱又出现了新的可疑邮件——是黑客又改了他的密码，照例，他又收到了黑客更改密码后服务器自动发出的通知邮件，刻不容缓，陈鹏按通知邮件里的密码重新登录，重新修改密码，重新修改注册信息，接下来，黑客又改掉了他的密码，然后他又收到通知信，再登录，再修改
……
“就这样，我们像拉锯战一样，改来改去，当时有很多电话进来，我都没接， 因为51.com是我的心血，是我的一切，我为它付出太多太多，包括爱情，我丢了51.com就好象丢了我的生命我不能让那个强盗抢走，我要和他斗争！”
然而，这种拉锯战并没有持续多久，更可怕的事情发生了……

域名被删
“这种拉锯战持续了大概半个小时之后，我突然发现我和新网的服务器连接不上了”
这种情况下，陈鹏只好重新登陆新网，而当他在域名管理主界面登录51.com这个具体的域名管理界面时，新网的服务器却提示说，“数据库没有此域名，可能域名没有被注册”。
陈鹏感到无比震惊——51.com这个域名很可能已经被黑客恶意删除了，因为，新网里有这个功能——域名删除功能，很多新网的用户一直都非常反对这个功能，都说“哪有谁花钱注册域名了，还把它删掉的道理？”。新网当初是为方便域名代理商管理过期域名而设计的这个功能，只不过使用频率比较低而已，而一般的用户更是很少用到它，如果黑客是使用这个功能来删除域名的话，那结果肯定是唯一的，根本就不用多想了。
为了验证这种可怕的猜想，陈鹏又以代理商密码登录到域名管理列表上，发现51.com这个域名的确已经不存在了……，
“我确认我的51.com已经被干掉了，真的！！！！！！我一下子失去了方向，我不知道该怎么办！！！！！”这是陈鹏的原话，只是不知道有多少人能真正体会得到他当时的心情。
求援
直到晚上8点多的时候，陈鹏才逐渐冷静下来，他开始给新网打电话寻求帮助，很快事情得到了验证，新网的答复证实了51.com域名已经被黑客删除了的事实，除此之外他们还发现这个黑客已经对51.com域名操作了5天多了，也就是说，这5天来51.com 一直都处于非常危险的边缘。
为了不让黑客得呈，新网的工程师们马上赶回了公司迅速和美国的ICCAN取得了联系，通报了51.com被劫事宜， 并立即采取措施把51.com保护了起来。晚上10点多的时候， 事态已基本得到了控制，大概第二天就可以把域名恢复过来！
终于有了结果，陈鹏也可以安心睡觉了，而他却说他失眠了。“那个人是谁？他究竟要做什么？！”找不到问题的答案，也许他永远也睡不着……
思索
“黑客已经对51.com域名操作了5天多了”，想起新网工程师的话，陈鹏开始思索这几天来的异常情况。
早在5天前，陈鹏就收到过类似的通知信，不过那是网站管理员用户名和密码的信，取得网站管理员用户名和密码可以登录到网站的控制面板，进行网站和邮箱的管理和设置。当时的陈鹏就有一种很不好的预感，觉的好象有人在试图查他的信息，但是那些信息不是他最在意的域名管理信息，所以被他忽视了。
时隔不久，陈鹏的计算机又总是莫名奇妙的出问题，这一次他又以为是病毒在搞鬼，想着找张杀毒盘来杀杀毒就行了，可是赶上那一段特别忙，就连杀毒也给忙活忘了。
“那种不详的感觉一直都在”，陈鹏回忆道，“只不过我一直都觉着不会这么巧，这种事情怎么会发生在我身上？”事情确确实实是发生了，只不过黑客为什么会选中陈鹏呢？

动机
“黑客看中的是我的域名”，陈鹏经过一番思索，终于明白了这个道理。
“51.com”是陈鹏花1万美金从美国“ ”买过来的，为什么要花这么多钱买一个域名呢？“我想办一个51（我要）网络集团”，陈鹏是这样说的。
经过详细的市场调查，陈鹏认为这个域名“前途无量”：
首先，当时国内已经有几家51开头的网站了（51job等），而且他们在社会上也已经有了比较大的影响，“我不买他们也会买”，陈鹏在这一点上比谁都清楚；其次，他手里还有70多个51开头的域名，像“51book.com”、“51love.com”、“51leller.com”等等，这些域名都很有商业价值，如果再有了“51.com”，这70几个域名就会更大幅度的增值；第三，这个域名本身就有很多优点，比如这个域名是由两位阿拉伯数字组成的，好记；又如“51”同“我要”谐音，容易让网民产生我要（爱情），我要（找工作）等多种联想，这样利于产生商业行为从而使网站得到商业利润。
“有了‘51.com’之后我就可以做很多事”，陈鹏是这样阐述他的网络集团规划的，“首先我建一个51.com的网站，然后把我手里的70几个域名挑出一部分分别承包给各行各业的人去建立不同的行业站点，这样就可以建成51.com网络集团的雏形，然后再跟51job这样的知名网站合作，形成规模化的51集团门户，然后深度发展各行业领域内的垂直网站……”，计划是雄伟的，虽然说起来容易做起来难，但是如果真的实现了，可是不得了，恐怕连新浪也要让路了，难怪黑客要动心啊！
现在的“51.com”已初具规模了，邮件业务也开展得很好，据陈鹏介绍说前一段时间，还有人想以250万的价格收购，而且“现在我的域名已经升值了，我当时买的时候是1万美金，现在就不止这个数了……”，这——也许才是黑客真正的用意吧？黑客是不会笨到抢了域名去办什么网络集团的，就像强盗不会抢种子回去种地一样，可话又说回来了，黑客真的是想抢域名吗？会不会只是一时好奇而已呢？
起因
“不会！”陈鹏的答案很肯定，“为什么？”，“他一直在冒充香港公司跟我谈域名的事，我才想起来！”，“？”
发生了这么多事，陈鹏一直在思索，“这个黑客到底是谁？他到底想干什么？难道一点线索都没有吗？”
——难道是他？
这种联想是可怕的，但陈鹏的脑海里还是浮现出一个人的影像来……

2001年3月20日，陈鹏照例在工作的时候开着OICQ，很多合作人都是通过OICQ联系的，这时一个没有名字的“神秘来客”（他隐藏了自己的基本信息）跟陈鹏开始了对话：

……
来客：我们想和你一起开发51.com这个网站
陈鹏：你们是谁？
来客：公司啊
陈鹏：是香港公司还是吉林分公司
来客：其实用哪一个名字是都一样的！
陈鹏：你们网址？你们想怎么做？
来客：我们的服务器出问题了，总：huaxxxx.net，分：china-huaxxxx.com
（这里的部分真实网址用“x”代替了）
陈鹏：你们有什么想法？
陈鹏：？
陈鹏：？
（神秘来客在这里沉默了两次，没有马上回答）
来客：我们是想把这个网站建成有规模的
陈鹏：具体一些的想法？和我怎么合作？
来客：因为，域名是你的！所以，我们想听听你的想法
陈鹏：我本来有一个大计划做51网络集团的……
来客：我们完全可以帮你组建51网络集团，也可以在香港注册公司！一起发展
陈鹏：关键要看你们有什么样的计划和实力了，会让我感兴趣 ：）
……

“一定是他！”，陈鹏几乎蹦了起来。
初见端倪
那个 china-huaxxxx.com的网址刺激了陈鹏的脑细胞，当那个“神秘来客”告诉了陈鹏网址的时候，陈鹏查过那个网站的域名信息，那个域名的联系人邮箱是[email protected]，这是吉林某公众信息港提供的邮箱，邮箱本身没问题，问题是陈鹏觉得在哪里见过这个邮箱，对了！“杨海军”，那是杨海军的邮箱！就是黑“51.com”的那个黑客的邮箱，黑客把“51.com”域名信息的联系人改成了“杨海军”，把陈鹏原来的联系邮箱，改成了黑客自己的邮箱，也就是这个[email protected]，“这两个人是同一个人！”，终于找到了，黑客就是“杨海军”，就是在OICQ上同陈鹏谈合作的那个人!
可是——，“杨海军”又是谁？
又起波澜
第二天上午9点10分，陈鹏从迷宫一样的梦中醒来，急切的跟新网的网管通了电话，“没问题的，下午就能给你恢复回来，到时给你发mail”,新网的答复终于使陈鹏稍稍安心，接下来就是漫长的等待了，等待一切的结束，也等待新的开始，然而事情总不会这么简单，更不会就这么轻易结束……
下午正当陈鹏要给新网打电话的时候，新网却来电话了，
“陈鹏，51.com是你一个人的还是你现在转让给别人了？”，
空气紧张得像凝固了，陈鹏的血液也几乎被冻结，
“51.com就是我的，没有其他人啊，我也没有转让给其他的人啊”，
“一个叫杨海军的人给我们写信，说51.com是他的，要求把注册人陈鹏的信息改成他的。”
“杨海军就是那个黑客啊，他就是那个删除51.com的人……”
“那个人黑了你网易的邮箱，可能还在你的邮箱里设置了转发功能。另外赶紧去看看你的域名注册信息，可能又被那个人给你修改了”。
黑客果然在陈鹏的信箱里设置了转发功能，网易的转发邮件设置里明确写着，“转发到指定用户“[email protected]”，这是黑客的真实邮箱，新网给陈鹏网易邮箱发出的域名管理密码都被发到黑客的这个信箱里去了，怪不得黑客能屡次得手，原来还有这一招，改掉它！
防不胜防
陈鹏赶紧改掉这个转发邮件的功能，并同时修改了网易邮箱的密码，然后开始登录51.com 域名管理界面，进不去！——又被黑客黑掉了！
幸好，陈鹏还注册了新网的代理商，还可以通过代理商的身份进入自己的域名管理界面，不过，黑客好像不知道有这回事，每次被黑之后，陈鹏都能通过代理商的身份“绕道”登录，这是黑客所没想到的。
从代理商管理界面登录进去后，再进入51.com的域名管理区，这时陈鹏发现他的域名信息又被改了，由于新网已经对51.com采取了保护措施，所以黑客没办法改掉“注册人： 陈鹏”这个信息，而这个信息是最根本的，改不了这条信息，黑客就不能把域名据为己有，这样，在毫无办法的情况下，黑客给新网的网管发了前面所说的那封信，慌称域名是自己的，请新网网管把域名的注册人改成他的名字，真是让人费解，这个黑客到底是聪明人还是笨蛋？

第二次战役
陈鹏匆匆的把本属于他的域名注册信息改过来，并改掉了51.com 的域名管理密码， 但是好景不长，没过几分钟，51.com域名的密码和信息又被黑客改了回去……，就这样双方谁也不肯首先放弃，所以又重新上演了前一天的拉锯战，眼看着是僵持不下了，陈鹏的心情越来越沉重——“历史总是惊人的相似啊，黑客会不会像上次一样再次删了51.com的域名呢？”
最终的结局还是以黑客的胜利而告终——黑客改了陈鹏的域名管理邮箱密码。每次陈鹏都是通过域名管理邮箱得到黑客修改后的密码的——黑客修改域名管理密码后，新网的服务器会自动给这个域名的域名管理邮箱发通知信，这个邮箱就是陈鹏在网易的免费邮箱，最初也就是在这个邮箱里发现可疑邮件的，这次黑客改掉了陈鹏域名管理邮箱的密码，陈鹏再进不去这个邮箱了，也就看不到黑客修改后的密码了，这也就等于失去了对51.com的控制权。“黑客怎么能这么快的知道网易邮箱密码呢？”，“难道是病毒？”， 不对，陈鹏特意检查过，应该是没有病毒了；难道黑客进入网易的邮箱服务器进去自如？难道他把网易的邮箱也黑掉了？
回归
按耐住满心的疑问，陈鹏再次拨打了新网网管的电话，请求援助。很快，新网网管以最高权限把51.com的管理信箱改成[email protected]， 并把51.com的域名的管理密码也重新改掉了，这时51.com终于又回到陈鹏的怀抱了。由于黑客也是通过陈鹏在网易的域名管理邮箱不断得知51.com的域名管理密码的，现在域名管理邮箱改了，黑客也束手无策了。
黑客真面目
就在国家严肃互联网法纪的这种时候，黑客竟然以身试法，这种猖獗行动无疑是对正义公理的公然挑战，于是，在有关部门的领导下，各相关单位组成了追捕黑客的联合小组，经过布局，监控，追踪等一系列行动，现已完全解开了黑客的真面目：
黑客——韩金勇，男，25岁，某学校大学本科毕业生，现任某网络公司技术负责人，家住某省丹江市，身份证号码：222403771234567，……
给黑客一个机会？！
黑客接到了追查人员的电话，显得惊恐万分，力图破坏证据，但为时已晚！
据介绍，有关方面现已掌握了黑客入侵的大量证据，包括入侵日志，电子邮件，聊天记录，电话录音，黑客的电话笔录等等，而这一切都做了证据保全工作。
黑客接到电话的当晚向家里人坦白了这件事，平静的家庭顿时炸了锅般的乱了起来，焦急的父亲，惊恐不安的孩子，……，
起诉还是不起诉？
起诉，毁了一个25岁青年的一辈子？
不起诉，谁来对此事负责？黑客会就此戒掉“黑瘾”吗？侥幸逃脱的他会不会一次次的在这条不归路上越走越远？
本次事件的主要当事人与黑客通过电子邮件、电话、OICQ多种方式进行了沟通，黑客的家人也曾主动与陈鹏联系，协商，对此，陈鹏提出两个条件：一、登报公开道歉；二、投案自首。
而黑客同意公开道歉，不同意自首。

一个25岁青年的命运将会怎样呢？究竟等待他的是怎样一个结局呢？要不要给黑客一个机会呢？黑客回去自首吗？黑客是如何得到网易邮箱密码的呢？追查人员是如何追踪到黑客的呢？本刊将继续关注本次事件的下文，并为广大读者提供最翔实的报道，同时也希望您能把您的想法告诉我们，因为您的想法会对本次事件的相关单位做出什么样的决定起重要作用！

尾声
写到这里也许是该告一段落了，可是仅几天之隔，又有黑客黑了著名的“IT写作区（www.donews.com）”网站，而这个网站刚好是陈鹏连续报道51.com被黑的地方，就这么巧吗？当第二篇报道贴上去3天之后，这个网站就被残酷的连续攻击，该网站数据库的全部内容都被清空，多少人的心血顷刻之间化为乌有！是同一个黑客吗？是报复吗？还是……
近年来，信息安全的问题越来越严重，防毒反黑任重而道远，这禁不住让我想起电影《七宗罪》的那种沉重感和它那意境深远的结局：
“你打算去哪儿？”，“附近，我会在附近的” ……，海明威曾说过，“这世界是个好地方，值得为它奋斗！”，也许大多数人还对此比较认同吧？

文章评论:51.com域名劫持案始末 - 苦歌 - 2001-05-07 21:57:41
发在《计算机安全》杂志第3期了，我现在在那里当编辑和特约记者