【51CTO.com獨(dú)家特稿】繼Twitter之后baidu又被“伊朗網(wǎng)絡(luò)部隊(duì)”攻陷，經(jīng)過(guò)國(guó)內(nèi)某著名安全公司項(xiàng)目經(jīng)理python分析，此次攻擊為DNS域名劫持，與此前對(duì)Twitter的攻擊是一個(gè)類(lèi)型的。目前尚不知駭客作案動(dòng)機(jī)，但反映出目前各大站點(diǎn)的DNS服務(wù)器安全解析問(wèn)題還并不盡如人意。

2010年1月12日早上7點(diǎn)左右，百度出現(xiàn)訪(fǎng)問(wèn)異常的情況，域名baidu.com的WHOIS信息也是不正確的結(jié)果。經(jīng)確認(rèn)，目前Baidu.com的域名解析服務(wù)器被更換，域名被解析到一個(gè)荷蘭的IP地址，并且訪(fǎng)問(wèn)百度旗下其他網(wǎng)站也會(huì)被跳轉(zhuǎn)到雅虎的錯(cuò)誤頁(yè)面，WHOIS數(shù)據(jù)也正在不斷被刷新中，截至到2010年1月12日上午10點(diǎn)30分，問(wèn)題并未解決，百度也并沒(méi)有對(duì)此發(fā)表回應(yīng)。

首頁(yè)轉(zhuǎn)到了一個(gè)包含阿拉伯文的頁(yè)面

下方還留下了對(duì)方的郵箱

百度流量那么大，往哪轉(zhuǎn)都不行

感謝python的分析和圖片。

51CTO王文文：其實(shí)百度的安全措施在國(guó)內(nèi)算起來(lái)已經(jīng)是相當(dāng)不錯(cuò)了。但出現(xiàn)這類(lèi)DNS劫持的問(wèn)題，著實(shí)很冤很無(wú)奈。這也反映出很多“古老”的網(wǎng)絡(luò)層攻擊手段老樹(shù)開(kāi)新花了。強(qiáng)烈要求老美嚴(yán)格管理其國(guó)際域名解析服務(wù)或?yàn)樽约汗芾淼母蛎?wù)器加裝DNSSEC(DNS安全擴(kuò)展協(xié)議)，以避免全球用戶(hù)受其域名解析制約和安全威脅！

百度被“黑”事態(tài)進(jìn)展：
11：30 百度旗下的hao123已經(jīng)把“百度”的鏈接改為了百度的ip地址 http://119.75.213.61/ 。另外百度自己也收錄了有關(guān)“百度被黑”的消息。
11：25 有部分網(wǎng)友遇到了重定向錯(cuò)誤，另一部分網(wǎng)友回報(bào)恢復(fù)正常，還有網(wǎng)友表示被電信114劫持，恕不一一列出?，F(xiàn)在說(shuō)明自己所在地恢復(fù)的投遞越來(lái)越多，表明情況正在好轉(zhuǎn)。
11：20 有網(wǎng)友截取到了疑似硬件防火墻開(kāi)啟的圖片，未經(jīng)確認(rèn)。
11：15 baidu.com的whois信息剛剛被改為正常。
11：08 百度官方消息稱(chēng)問(wèn)題出在國(guó)外域名服務(wù)商。
11：00 根據(jù)我們對(duì)DNS記錄的跟蹤，盡管百度官方宣稱(chēng)問(wèn)題已解決，但實(shí)際上百度和黑客的拉鋸戰(zhàn)依然在進(jìn)行中，NS記錄一改再改。
10：55 山寨臺(tái)灣百度被確認(rèn)為假新聞。
10：54 百度正式對(duì)今晨大面積癱瘓事件進(jìn)行了回應(yīng)，同時(shí)，百度也對(duì)內(nèi)發(fā)布郵件對(duì)此次事件進(jìn)行了解釋。原文如下：

百度稱(chēng)，由于www.baidu.com的域名在美國(guó)域名注冊(cè)商處被非法篡改，

導(dǎo)致www.baidu.com不能被正常訪(fǎng)問(wèn)，百度公司有關(guān)部門(mén)正在積極處理。

百度提醒網(wǎng)友，目前baidu.com.cn能夠正常訪(fǎng)問(wèn)。

10：40 谷歌、搜搜、中國(guó)雅虎等搜索網(wǎng)站流量都出現(xiàn)不同程度的增幅。谷歌向騰訊科技表示，首頁(yè)訪(fǎng)問(wèn)量出現(xiàn)了高達(dá)30%以上的巨大增幅。一位名為“燕南飛”的網(wǎng)友表示，他已經(jīng)搶注了“百度被黑”的域名（baidubeihei.com）。
10：35 北京、山西、河南、福建、廣東等地的部分網(wǎng)絡(luò)恢復(fù)對(duì)baidu.com的訪(fǎng)問(wèn)。請(qǐng)網(wǎng)友繼續(xù)回報(bào)本地的訪(fǎng)問(wèn)情況。詳情請(qǐng)看內(nèi)文。
09：55 拉鋸戰(zhàn)仍在繼續(xù)，谷歌熱榜上升最快關(guān)鍵字第一名也是“baidu”。國(guó)內(nèi)大多數(shù)媒體都已經(jīng)有了百度域名被劫持的報(bào)道。
09：40 baidu.com的NS紀(jì)錄再次被修改為hostgator.com，又改回來(lái)。杯具繼續(xù)發(fā)生，拉鋸戰(zhàn)進(jìn)行中，NS數(shù)據(jù)被百度和黑客相繼改來(lái)改去。
09：35 月光博客發(fā)表文章《百度被伊朗黑客攻陷》，談了他自己的看法。
09：28 疑似yahoo將要放棄目前對(duì)baidu.com的解析。
09：20 百度已經(jīng)迅速登上Alexa熱門(mén)排行榜首位。
09：15 圖片上那個(gè)IP解析出來(lái)是pink2.warez-host.com，主頁(yè)目前已經(jīng)被拖垮，網(wǎng)頁(yè)快照顯示其數(shù)據(jù)中心在伊朗、荷蘭與德國(guó)，提 供“離岸主機(jī)托管服務(wù)”。
09：10 被轉(zhuǎn)向的伊朗頁(yè)面顯示“This account is suspended”。更新一系列圖片。
08：59 51CTO記者查閱了網(wǎng)上的各處消息，被黑的可能性看來(lái)最大。這次事件與上次的twitter事件有類(lèi)似之處。目前看，域名被劫持的可能性應(yīng)該是最大的吧。
08：52 51CTO記者嘗試ping百度域名，竟然正?！?/STRONG>
08：47 51CTO記者驗(yàn)證百度貼吧、百度知道等均無(wú)法打開(kāi)。
08：36 有網(wǎng)友提供了被黑圖像，上面的文字說(shuō)明是“Iranian Cyber Army”，網(wǎng)頁(yè)提供的信息這樣寫(xiě)到：ارتش سایبری ایران در اعتراض به دخالت های سايتهاي بيگانه و صهیونیستی در امور داخلی کشورمان و پخش اخبار دروغ و تفرقه
08：30 百度DNS數(shù)據(jù)已經(jīng)被改回，但WHOIS數(shù)據(jù)依然沒(méi)有刷新。
08：20 有網(wǎng)友曾經(jīng)被定向到一個(gè)黑頁(yè)“Iranian Cyber Army”上，域名被盜取或劫持的可能性相當(dāng)大，不過(guò)百度如此大的請(qǐng)求數(shù)量是任何一個(gè)黑頁(yè)服務(wù)器也無(wú)法抵御的，因此只能是訪(fǎng)問(wèn)失敗?；叵肫餿witter 上次域名被轉(zhuǎn)向，和這次攻擊有著驚人的相似。
7時(shí)20分左右，在各大論壇開(kāi)始出現(xiàn)大批站長(zhǎng)發(fā)帖，稱(chēng)國(guó)內(nèi)知名搜索引擎百度無(wú)法打開(kāi)。