百度被黑事件调查报告

解滨

2010年1月14日

2010年1月12日晨，中国最大的搜索引擎百度被黑客攻陷，彻底瘫痪，影响了中国成千上万网民上网搜索信息，给各方面造成了巨大的损失。 百度CEO李彦宏形容这一事件是“史无前例”。

事件已经过去好几天了，百度没有给中国网民们一个说法，只是在其网站上发布了一个不痛不痒的简短声明。 民间对于此次黑客事件的说法千奇百怪，莫衷一是。 事情闹到这步田地，能瞒住吗？  当时的数据都在网上，咱搜集了一些，汇集在这里，给网民们一个专业的说法。

一、事件回放

2010年1月12日早上7时许（北京时间），网民发现登录百度主页出现“网页无法显示”等字样，查询域名baidu.com的WHOIS信息后发现Baidu.com的域名服务器被更换，早上9点多钟，百度的DNS服务器被更换为YNS1.YAHOO.COM和YNS2.YAHOO.COM。9点40分左右，百度内部透露出的消息表示，故障已经基本处理完毕，百度公司内部已经可以正常访问。不过问题远没有那么简单。 很快百度的DNS又被修改为NS2303.HOSTGATOR.COM和NS2304.HOSTGATOR.COM。 这两个服务器都坐落于美国德州休斯顿市一个叫ThePlanet.com的数据中心里。 用户登录baidu.com被送往IP 174.121.0.7，这个IP也在ThePlanet.com的数据中心里。访客当时看到的是以下这个网页：

随后的几个小时，百度的域名服务器在不断被刷新中，百度没有对此发表回应。一些网友登录百度却看到 “Iranian Cyber Army”的网页：

直到12点多钟，百度域名解析DNS的控制权才被基本夺回，不过一些地区的贴吧等服务仍无法访问百度网站。 到了下午5、6点钟才基本上全部恢复正常。 至此，造成的影响已经难以挽回。 举国震惊。 这一消息如野火般传遍世界。

二、事件解说

要弄懂这一次究竟发生了什么事，先要进行一点科普。 您如果懂点IT，可以不看这段。 你知道，互联网上的信息是存放在各个计算机上的。 计算机之间由网络连接，每台计算机都有一个特定的网络地址，其实就是一个数字，我们把它叫做IP，例如220.181.6.19就是百度使用的一个IP 。 计算机识别和牢记这些数字易如反掌，但我们人类的脑瓜子却一塌糊涂，不到一袋烟的功夫就要忘掉了。 所以有人想了个办法，给每台计算机的数字地址起个名字，然后用另外一台计算机记住这些名字。 例如baidu.com就是人类可以比较容易记住的计算机名字，它相应的数字地址就有220.181.6.19等。 专门记住计算机名字的计算机就是我们说的域名服务器。 你要是还不明白，那就想一想国内那些革命领导干部是如何“家里红旗不倒，外面彩旗飘飘”的吧。 首长日理万机，外面有几十个二奶小三要供养，她们又不能和解放前那样都住在一个大院子里，每人一个电话号码， 首长能记住那么多号码吗？ 不能。 所以首长就把那么多二奶小三的电话号码记在一个小本子上。 首长想和谁做爱时，一翻那个小本子就可以找到她的电话号码了。 这个小本子的作用和网络上的域名服务器十分相似，只是小本子最好不要落到纪检委的手中。

扯远了。 全世界有几亿台计算机，凭一台域名服务器能把那么多名字都记住吗？ 当然不能。 所以要靠很多很多台域名服务器分工负责。 那百度的域名是哪一台计算机负责的呢？ 这个就要问美国的一个域名注册机构叫做register.com了。百度是找他们登记的。 他们把百度域名服务器的信息记录在一台叫做whois.register.com的计算机里。 根据那上的记录，百度的域名服务器共有四台，它们是：

dns.baidu.com

ns2.baidu.com

ns3.baidu.com
ns4.baidu.com

这四台域名服务器的作用就是把www.baidu.com 或 baidu.com 翻译成计算机可以懂得的IP地址。

以上这种有关域名服务器的信息叫做Whois。问题就来了： 如果有谁把以上四台域名服务器中存放的信息搞错了，或者更狠，干脆来个狸猫换太子 – 篡改百度的Whois信息，也就是用几台假的域名服务器去冒名顶替那四台真的百度域名服务器，那百度网站岂不玩完？

谁有权做这种事情呢？ 一是百度自己的员工，二是register.com的员工。 当然他们是不会也不敢干那种扒屁眼的事的。

他们不干，不等于普天下的人都不干。 您听说过黑客吧。 如果某个黑客想方设法冒充百度或register.com的员工，获取他们的权限，混入register.com的计算机系统，把以上四台百度域名服务器换掉，百度不就立马就玩完了吗？ 发生在1月12日的那起严重事件就是这样一回事。 当时，用户要去百度网站，whois.register.com说baidu.com的域名服务器是黑客的那一台。 于是， 百度的访客们被引导到黑客的网站上去了。

三、这事怪谁？

这一事件发生后，一些网民把百度骂了个狗血喷头，但大都没有骂到点子上去。 百度发表的简短声明似乎有怪罪美国的那家域名注册公司register.com的意思，却又不敢明说，只是在他们的有关此事的新闻中把几个屁民的邪说链接过去。 事情果真是那样的吗？

俗话说，苍蝇不盯无缝的蛋。 黑客虽坏，但他们也不是攻无不克、战无不胜的。 百度被黑掉，百度自身的问题恐怕也是不可推脱的。

假如这一次黑客是冒充register.com的员工作案的，那这一次就基本上要全怪register.com了。 因为这是他们没有管好自己的Whois服务器，让黑客混水摸鱼了。 如果黑客是冒充百度的员工作案的，百度的责任就大些。 不过，前一种情况的可能性不大。 为什么呢？ 假如黑客成功地获得register.com的工作人员的权限，那他们黑掉的就远不止百度一个网站了，恐怕成千上万个网站要瘫痪。 那天只有百度的域名服务器被搞乱套，说明黑客仅仅获得的百度员工在register.com的权限。 黑客很可能是从以下这个窗口登录的：

根据已有的各种信息，这一次百度至少犯了以下三个错误：

1. 没有好好保护百度域名

根据下面的域名资料，这种可能性是存在的： 

Domain Name: BAIDU.COM
   Registrar: REGISTER.COM, INC.
   Whois Server: whois.register.com
   Referral URL: http://www.register.com
   Name Server: DNS.BAIDU.COM
   Name Server: NS2.BAIDU.COM
   Name Server: NS3.BAIDU.COM
   Name Server: NS4.BAIDU.COM
   Status: clientTransferProhibited
   Status: serverDeleteProhibited
   Status: serverTransferProhibited
   Status: serverUpdateProhibited

（资料来自 http://www.networksolutions.com/whois/registry-data.jsp?domain=baidu.com）：

现在你还看不出什么问题，但如果我们把人家谷大哥（歌）的同样数据拿来看看，就知道人家谷大哥被黑客使用同样的方法黑掉的可能性就小得多：

Domain Name: GOOGLE.COM
   Registrar: MARKMONITOR INC.
   Whois Server: whois.markmonitor.com
   Referral URL: http://www.markmonitor.com
   Name Server: NS1.GOOGLE.COM
   Name Server: NS2.GOOGLE.COM
   Name Server: NS3.GOOGLE.COM
   Name Server: NS4.GOOGLE.COM
   Status: clientDeleteProhibited
   Status: clientTransferProhibited
   Status: clientUpdateProhibited
   Status: serverDeleteProhibited
   Status: serverTransferProhibited
   Status: serverUpdateProhibited

Domain Name: TWITTER.COM
   Registrar: NETWORK SOLUTIONS, LLC.
   Whois Server: whois.networksolutions.com
   Referral URL: http://www.networksolutions.com
   Name Server: NS1.P26.DYNECT.NET
   Name Server: NS2.P26.DYNECT.NET
   Name Server: NS3.P26.DYNECT.NET
   Name Server: NS4.P26.DYNECT.NET
   Status: clientTransferProhibited 

这也是傻X一个！

2. 百度的灾难应急措施糟糕透顶

1月12日中午12点左右百度的域名服务器就从黑客的手中夺回来了，可为什么整个下午还是有许多用户无法访问百度网站呢？ 这又要说一点域名服务器的知识了。 前面说过，百度共有4台域名服务器。 但很多网站的流量很高，例如百度，每天至少有大概上亿个流量吧。 单靠那4台域名服务器恐怕很快就要累趴下了。 怎么办呢？ 办法其实很简单，这就是让其它的域名服务器或计算机也“记住”百度网站的IP地址 （这种信息记录在一个叫zone的文件上，zone文件每修改一次都要升高一个序列号来表示其为最新版本）。 这样一来，这些计算机只要从那四台服务器中取一次百度网站的zone文件，下一次只要从自己的记忆里取出来就可以了。 这种记忆叫cache。  那要cache多长时间呢？ 百度规定这为7200秒，这也就是两个小时，我们把这个记忆时限叫做TTL。 过了TTL怎么办？ 那个时候，已cache了百度网站IP的计算机只要把自己上次下载的zone文件的序列号去百度的域名服务器上对比一下， 如果两个序列号还是一样，那还用上一次cache下来的域名信息就行了，不必翻新。 如果序列号变了，就要下载最新的zone信息了。

问题是，百度被黑掉后，百度的员工忙的焦头烂额在设法纠正register.com那里的百度Whois信息。 而黑客偷换的域名服务器使用的zone序列号也和百度的域名服务器的zone序列号一模一样，都是2010011101。 这样一来，即使后来许多计算机又“找回”了正确的百度域名服务器，但看到那上面的序列号跟黑客所给的是一个序列号，因此就不去更新zone息了，也就是说仍然在使用黑客给的百度网站IP登录。 这样一来，很多客户还是跑到那个黑客网站上去了。 假如百度及时更新序列号，升级为2010011201，其网站被黑的时间就会大为缩短。遗憾的是，百度居然没有及时想起来做这件事。为什么呢？ 这大概要怪百度根本就没有一套灾难应急计划。 大难临头时，就只好抓瞎了。

3. 百度死要面子

登录百度网站并非只有www.baidu.com一个法子。 其实使用www.baidu.com.cn 也同样可以。 那天www.baidu.com 被黑了，而www.baidu.com.cn却没有。 为什么呢？ 因为所有.cn的域名注册都是中国而不是美国管的，这一次黑客没有去找那个域名的麻烦。 事件发生后，百度急忙通过电视台通知网民使用www.baidu.com.cn 登录。 既然如此，那平时为什么不告诉广大网民呢？ 更可恨的是，百度大难临头还不告诉网民使用www.baidu.cn 也完全可以登录百度网站。 搞什么名堂嘛。 我要告诉你，按理说你干脆使用baidu.cn也应该可以登录百度的，只要百度的网管在baidu.cn.zone 那个文件中加一个很小的指令就可以了，比点根烟还容易。 但百度却故意不这样做，难道baidu.cn不是比www.baidu.com更简洁方便吗？

笔者分析百度不喜欢.cn可能有两个原因：（1）使用.cn域名，百度看上去就只是个local而不是global网站了，太丢面子了。 （2）华尔街的洋人大佬们只懂得.com，哪里知道世界上还有.cn这种东西，要好生伺候他们就得使用.com域名，不然人家的金山银山怎么会砸过来。

这就叫死要面子活受罪。百度难道不是个道道地地的中国local搜索引擎吗？ 她何时在国外提供过任何服务？

我说百度你干脆改叫百肚好了，小肚鸡肠的肚。

四、意外发现

这次调查过程中居然有两个意外的发现。

百度是谁拥有的，你可能不会有半点怀疑。 但百度网站的域名baidu.com是谁拥有的呢？ 说出来可能会使你大跌眼镜，或许使你性趣盎然，居然是这个：

Domain Discreet
ATTN: baidu.com
Rua Dr. Brito Camara, n 20, 1
Funchal, Madeira 9000-039
PT
Phone: 1-902-7495331

这是在哪个国家？ 葡萄牙？ 西班牙？ 摩洛哥？ 反正不是中国。 您自己去谷歌地图上找找吧。 那个北大西洋上的小岛子可美了。 中国头号搜索引擎百度的域名注册人就住在以下这个地区的某个豪宅里。 为什么结果会是这样，发挥你的想象力吧。

中国最大的搜索引擎的域名注册人住在离中国如此遥远的一个美丽小岛上，这可真是太罗曼蒂克了。

另外一个惊人发现就是，中国的强大防火墙居然不防国外的黑客！ 伊朗那帮黑客，作案已不是一天两天了，早已闻名天下。 中国的防火墙连倍可亲、万维这样的海外亲华中文网站都给堵住，却让全国网民可以畅通无阻地跑到伊朗那帮贼民的网站上去，这是不是有点失职？ 我说网警们你们也学点专业好不好？ 不能一天到晚总是在看A片，读黄段子嘛。

五、鹿死谁手

这一次百度被黑后，中国的黑客们义愤填膺，开展了大规模的报复行动，一举黑了10个伊朗的网站。 他们说胜利了。 网上欢呼声一浪高过一浪。

真的吗？ 同样是黑，规模却不一样啊。一个是中国首屈一指的百度，一个是伊朗不疼不痒的教育网站，有谁在乎？ 中国的黑客还要多多学习国际先进经验，不能老是自吹自擂。 骗得了谁啊。

六、忠言逆耳

百度出了这么大的事情，该好好反省反省了。 这么不堪一击，以后还怎么混？  革命尚未成功，同志们仍需努力啊。

夺取全国胜利, 这只是百度的万里长征走完了第一步。 中国的网络是伟大的，但垄断以后的路程更长,工作更伟大更艰苦. 这一点现在就必须向公司内讲明白,务必使同志们继的地保持谦虚谨慎不骄不躁的作风,务必使同志们继续的保持艰苦奋斗的作风.

看人家谷大哥，高风亮节，急流勇退，不为二斗米折腰，不为蝇头小利出卖原则。你们百度可差远了。 Global 不是你们这样做出来的。 还是多跟你谷大哥学学吧。