dnspod账户密码被盗，所有域名被增加了一条泛解析，指向色情网站ip。

2013-10-31 22:07:12: (110.86.221.35) 修改 CNAME 记录 默认 线路 * 值 a.808kd.com. 为 A 记录 默认 线路 * 值 198.56.210.79 (45367251)
2013-10-29 09:41:46: (113.80.36.173) 添加 CNAME 记录 默认 线路 * 值 a.808kd.com. (45367251)

另一个域名
2013-10-31 22:07:57: (110.86.221.35) 修改 CNAME 记录 默认 线路 * 值 a.808kd.com. 为 A 记录 默认 线路 * 值 198.56.210.79 (45367238)
2013-10-29 09:41:35: (113.80.36.173) 添加 CNAME 记录 默认 线路 * 值 a.808kd.com. (45367238)

还是分两次操作的

前两天DNSPod专门发邮件提醒大家修改密码来着。

@SharkIng 难道数据库被人脱了？

@family 不确定， 但是他们有提示说有风险提示修改密码

@SharkIng 微博搜了一下，大批用户账号被盗，都是解析到了色情网站。。。

猜想是不是内部人员离职，带走了数据库，或者本身有安全漏洞，被脱裤子了。
@SharkIng

@family 被脱裤就搞成这样，难道是传说中的明文密码

@jasontse 估计是啊，邮箱没收到过重置密码邮件，直接是dnspod账号被盗，操作提示什么的都没有收到，自己百度搜索域名发现一堆泛解析，全部指向色情网站，由于没修改原有记录，所以很难发现。

@likexian @naizhao 如果dnspod不出来说明那我就当做默认了，虽然保存明文密码可能是因为某种不可抗力。

dnspod密码不是明文的，从一开始有dnspod的时候就不是，而是超变态的不可逆摘要算法

dnspod的在职员工是没有办法拿到数据库的，这是完全物理隔离的，而且就算后台也查看不到全部用户的记录，只能根据账号查询单个账号信息




而实际情况是每天都有大量的请求过来暴力破解dnspod用户的密码，这些碰撞数据来源于国内一些知名网站的库，相信大家也知道有哪些网站的库人手一份了，如果你的dnspod账号被入侵，那么极有可能是因为同样的邮箱、密码在其它地方使用过，对于此我们加上了监控，异常就封ip，同时也发邮件让用户修改密码，即使如此，仍有大量请求随机地过来，我们没有办法百分百保证能全部拦截这样的暴力破解，所以大家尽量改个复杂点的密码吧，或者开通登录提醒，有异常可以根据邮件、微信里面的链接即时锁定账号。

您好，如同上述人员所说，DNSPod密码是加密的，DNSPod在职员工是无法拿到数据的，也查看不到全部用户信息，阿D跟大家建议：首先虽DNSPod已开启紧急应对措施，但仍需要您的支持与配合：①立刻密码；②开启D令牌；③绑定手机、微信；④收到异地登陆告警，立即锁定账号防止黑客登陆。做好账户、密码安全防护，不要让黑客趁虚而入~

可能跟前几天的xss漏洞有关 http://www.wooyun.org/bugs/wooyun-2013-041349

1、@treo 和xss没关。没有任何用户收到此xss影响
2、dnspod的数据库是在隔离带内，除了少数一两个授权的人员，其他人都拿不到，包括我。所有dnspod的程序员开发所接触到的数据都是虚假数据。公司内网、开发环境、线上环境均不存在dnspod的实际运营数据。
3、dnspod从我开始写第一行代码开始，用户的敏感数据就是加密的，包括密码。而且密码算法是我自己写的，同样一个密码，在存储的时候会有完全不一样的变化。即使拿到加密后的密文，也绝不可能破解或者碰撞出明文的。
4、网站安全的短板往往不在自身。缺乏安全意识的用户、不安全的第三方网站都会成为泄密的源头。你在dnspod的帐号被登录，首先必须肯定的一点就是：你在dnspod上用的帐号密码和其他网站一样。换句话说，你的银行卡密码你的女朋友知道，即使你的安全意识再高，黑客也可以从你女朋友身上套出密码。同理，dnspod再安全，也没法阻挡别的网站被脱裤。如果你在dnspod上用的密码和被脱裤网站上的一样，那么请你自求多福吧。
5、关注安全，请不要在dnspod上使用和其他网站一样的帐号、密码。你还可以开启D令牌，在安全上得到彻底的保障。
6、我个人最早是搞网络安全的。可以说，dnspod在安全方面的重视远远超过别的网站。

@DNSPodACT 登陆可以加个验证码

@cnxh +1，不明白为什么这么难。。甚至可以学qq智能出，也不影响用户体验

@naizhao @DNSPodACT 非企业用户无法使用D令牌，强烈建议给免费用户和个人用户加上类似的二次验证功能

而且如果有很多域名指向同一ip的情况也是可以监测的吧

@lhx2008 我猜是其它原因导致的账号被盗，如果是别人拿到了库，肯定会不断尝试用户密码，这个dnspod在技术层面肯定可以防止，因为通过微博搜索，这个事情已经发展好多天了。难道dnspod除了奉劝用户保护好密码外做不了其它事情？并且还趁此机会告诉大家：‘看吧，免费版是不安全的，购买收费功能可以保护密码哦？’个人人为不妥。

我的博客域名 http://wangyueblog.com 之前在 DNSPOD 帐号也被盗，同样被添加了一大堆二级域名的泛解析，现在百度 Google 中还收录着。

我不知道是不是DNSPOD 密码泄露，但是因为我的 godaddy 使用了相同的账户名+密码组合，黑客直接 push 走了我的域名，我用了半个月，花费近2K 才找回。

最近偷域名的特别多，主要是用二级域名，利用 PR 和排名高的域名和百度算法的漏洞做色情、赌博和娱乐城等网站的排名。

之前有好几个人联系过我，想买我的二级域名解析权，出价100-150元/天，我没有同意，因为这样搞几个月，站基本就废掉了。没有想到居然直接被盗，不知道这之间是否有什么关联？

DNSPOD 被盗还不要紧，可以通过找回域名功能找回来，同时加上微信提醒之类的，而一旦域名直接被盗就很麻烦了，亲们要警惕啊。

相关文章：

http://wangyueblog.com/2013/10/12/dnspod-domain/
http://wangyueblog.com/2013/11/01/godaddy-domain/

同样遇到了,也是dns被人插入一条* 好像是大前天的事 然后有人跟我反馈 果断改了密码
感觉可能是 论坛里无良开发者钓鱼试用骗了一大群账号密码