6月26日消息,近日,安恒信息风暴中心在日常监测中发现了多起国内网站域名解析地址跳转至美国或加拿大等国外IP的情况。安恒信息风暴中心对此异常行为进行深入分析发现,域名被劫持后首先跳转到了在国外的黑站点,其主站是伪造的钓鱼网站,而其他端口则连接到了博彩广告类网站页面上。因此,这些国内网站成了黑站点的网络入口。

以下是某个站点域名被劫持的页面截图:

域名劫持事件频发 网站安全形势不容忽视插图

安恒信息风暴中心进一步对该黑站点所在IP的其他旁站进行检测发现,多个国内的政府、教育类网站同样也被劫持,可见黑客已将该主机作为域名劫持的根据地,通过可信任的域名来骗取用户流量以此来牟利。

分析发生类似域名劫持事件的原因,主要有以下几点:

1、域名解析服务商的解析地址被恶意修改,这说明该域名解析服务商的系统存在不安全因素。或是黑客伪造域名备案人发送邮件修改解析地址,说明备案人邮箱密码被泄露;

2、当地的DNS解析服务器被投毒,更改了缓存的解析地址,令解析服务器误以为该域名地址更改为新地址,并提供更新后的解析地址。

网站域名被劫持不仅影响到用户的使用体验,而且对企业自身以及用户的信息安全都造成了威胁。在互联网高速发展的今天,越来越多的企业开始进行网络营销,域名的安全对其发展起着至关重要的作用。安全,不再是一句口号,而需要更多的行动。

安恒信息风暴中心建议广大用户:

1、对于已经发现网站域名被劫持的企业,应立即进行处理,深入查找事件发生的原因并根除该问题,避免引发更大的安全隐患;

2、为避免此类事件再度发生,企业对于重要网站应交由可信任的安全的域名解析提供商来进行域名解析,并且需要加强日常的网站安全监测,一旦发现被劫持,就可以立即处理,将影响降至最低。

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。