域名被惡意泛解析是域名安全最常見的問題之一,服務商往往起到決定性作用,那麼作為站點自身該做哪些工作呢?SEO從業者洪石陳管理著多個當地媒體站點,雖然他說自己是網站安全領域內的小學生,但還是很願意分享一些網站安全工作的心得。百度站長平台特意向洪石陳約稿,請他來分享一下站點如何從自身出發降低被泛解析的風險,下面就是他的反饋內容,希望可以幫到各位站長,同時也歡迎更多網站安全專家在百度站長平台進行分享。
一,域名泛解析成因
1、站點自身問題
1)站點在域名服務商網站注冊的帳號密碼過於簡單,帳號密碼被盜,導致域名信息被惡意篡改。
2)站點在各種與域名有關的服務端注冊時,使用了相同的帳號和密碼,被黑客破解一個密碼後順利劫持域名。
3)現在很多域名解析平台支持泛解析設置,如圖1所示,在添加A記錄時,主機記錄若填寫“*”,就實現了泛解析,一旦域名被劫持,就會快速在域名下生成眾多二級域名、三級域名。
圖1:在域名解析平台新增一條泛解析記錄
2、域名服務商問題
1)網站被攻擊,黑客盜取眾多注冊用戶的信息。
2)域名服務商的安全漏洞導致域名被惡意篡改,甚至出現過域名服務商設置了域名鎖之後,域名持有人無法修改信息,黑客卻可以通過漏洞進行域名解析的修改。
二,降低域名惡意泛解析,從自身做起
1、多從安全角度出發,選擇專業可靠、技術能力強的域名注冊商,即使他的收費會貴一點。
2、選擇域名注冊商時,詳細咨詢客服注冊商對域名被劫持等安全問題是否有解決方案,之前的安全問題是如何處理的。
3、與域名相關的帳號密碼盡量復雜,一定不能使用弱口令(123456之流),且與域名相關的多個帳號密碼不要使用相同組合。
4、進行域名解析設置時,如果沒有特殊需求,一定不要使用泛解析功能,可以在決定使用哪個二級域名時再進行單個二級域名的解析操作。
5、建議使用百度雲加速,享受高防智能DNS,免費的。百度雲加速可以隱藏網站真實IP,如圖2圖3所示,ping網站時顯示的是IP地址是通過百度雲加速DNS解析的IP地址,即百度IP地址,隱藏網站真實IP地址,提高網站安全系數。
圖2:PING域名獲取網站的IP地址
圖3:該IP地址經查詢為北京百度網訊科技有限公司電信節點