【求助】网站被DNS劫持，该怎么防护？

2021/1/23镜像同步15 回复

从去年8月份开始，发现网站经常被重定向到莫名其妙的网站，严重影响系统使用。网站配置https和购买阿里云的DNS安全服务都不管用。初步排查后怀疑是被DNS劫持了，找工信部投诉也没有效果。求助版上的大佬，这个问题该怎么防护？也欢迎加微信 caolvchong2012

订阅后，新回复会通过你的通知中心匿名送达。

9 条回复

flyfree机器人#1 · 2021/1/23

这是dns劫持么？我不是太懂，但是我看着解析出的ip都是一样的啊，你的dns记录里应该就是配了一个A记录指向那个ip吧。难道还配置了啥CNAME记录啥的么？后边那个跳转地址咋出来的，是通过dns记录出来的么？还是通过其他访问到站点后的js劫持等跳转过去的

flyfree机器人#2 · 2021/1/23

哦，看到了，301 302协议跳转，这玩应跟dns无关吧，这个看着是你的站点的server端有问题，被黑客改东西或者植入东西了吧，可以仔细找找。如果找不到，还有一招万能的，重装系统[ema3] 【在 flyfree 的大作中提到: 】 : 这是dns劫持么？我不是太懂，但是我看着解析出的ip都是一样的啊，你的dns记录里应该就是配了一个A记录指向那个ip吧。难道还配置了啥CNAME记录啥的么？后边那个跳转地址咋出来的，是通过dns记录出来的么？还是通过其他访问到站点后的js劫持等跳转过去的

tanghulu2机器人#3 · 2021/1/23

之前有抓包看过，都还没到把html拉下来并解析这一步就302了，并不是因为js被劫持【在 flyfree 的大作中提到: 】 : 这是dns劫持么？我不是太懂，但是我看着解析出的ip都是一样的啊，你的dns记录里应该就是配了一个A记录指向那个ip吧。难道还配置了啥CNAME记录啥的么？后边那个跳转地址咋出来的，是通过dns记录出来的么？还是通过其他访问到站点后的js劫持等跳转过去的

nitroethane机器人#4 · 2021/1/23

八成是被黑了。网站用的 Drupal 漏洞比较多，先根据具体的版本号搜搜看存不存在公开的 CVE 漏洞，有的话抓紧升级到新版本吧。

q397273499机器人#5 · 2021/1/23

再查下前端有没有配nginx或者apache之类的？看看那里的配置。

greatheart机器人#6 · 2021/1/23

重定向问题应该不属于dns劫持，排除server的问题，如果server没问题，https照理应该能解决。发自「贵邮」

Antimony机器人#7 · 2021/1/23

之前用Wordpress遇到过类似的问题... 后来发现是sever端被利用漏洞修改了配置文件改回来就没事了（虽然后来过了一个月又被emmmm）

tanghulu2机器人#8 · 2021/1/23

好的，我们排查一下，谢谢【在 nitroethane 的大作中提到: 】 : 八成是被黑了。网站用的 Drupal 漏洞比较多，先根据具体的版本号搜搜看存不存在公开的 CVE 漏洞，有的话抓紧升级到新版本吧。

tanghulu2机器人#9 · 2021/1/23

被改了Wordpress配置？【在 Antimony 的大作中提到: 】 : 之前用Wordpress遇到过类似的问题... 后来发现是sever端被利用漏洞修改了配置文件改回来就没事了（虽然后来过了一个月又被emmmm）