这两天新网 DNS 完蛋了——打电话给客服他们已承认被黑了

2004-05-26 21:30:25
作者：郑凯

让我惊讶的是，他们居然真好意思说出来，有点意思。国内最著名的几家 IDC（Internet data center 互联网数据中心）之一的新网安全性竟然是如此。大约从前天晚上开始，解析已经是断断续续的了，结果一直到今天还没恢复过来。接电话的是一个呆头呆脑的家伙，他说已经 80% 恢复了，这是一个很虚的概念，又说北京电信局刷新回来还需要一段时间，我就问他有没有一个准确时间，支支吾吾半天也没有说点实际内容，我直接把电话撂了。

而且这可能仅仅是我知道的一次事故，可能之前有很多次了，我[url=[archive=140]]上一篇文章[/url]里说过，新网有安全漏洞，哪里叫什么漏洞，简直叫愚昧，一台上面装有两万多虚拟主机的主机的网管连个一个只知道 win32 的用户都不如，我居然能得到几乎所有目录的列表（除了 master.password，而且我不懂 UNIX，除了 ls 什么也不知道，要不然他真得完蛋了），而虚拟主机的目录里，90% 我具有读权限，60% 的目录有写权限！（我记得当时所在主机的名字大概是“unix-g1.chinadns.com”，bsd 系统，不过现在 chinadns.com 这个域名已经作废了，不知道为什么）

这是多大的安全隐患？两万是一个什么概念？我有读权限就意味着只要我愿意，我可以挨个目录看（目录是按“首字母/域名”的格式保存的，非常方便）里面的文件，包括各种记录着数据库帐号的 config.php 之类，而在知道论坛数据库之后，如果一些低级论坛是用明文储存密码的话（国内的很多论坛和 vbb 1.x 之类的）……要知道，很多人都是只用一个相同密码的。不过我当时并未做什么，因为让我吃惊的是绝大部分虚拟主机没有使用数据库，只有简单的几个静态页，而有论坛的又几乎全是几乎文本的，而且没见过注册人数超过 50 的 -_- 感觉含金量为 0，便没再去深挖掘。

一个最便宜的虚拟主机是 300 左右，两万个的就每年 600 万，这是新网每台主机每年带给他们的毛利，硬件投资能占多少？利润能有多少？这样的主机有多少台？可在取得如此暴利的同时，却不肯多花只要很少的一点钱去雇一个具有最起码知识的管理员（把工资只要提高 5k 的话就能招一个水平高很多的管理员，一年才多花 6 万，而且又不是只管一台机器），这就是新网的服务宗旨和经营之道？商人都是你这么做的？

该漏洞于 2002 年末发现，2003 我把空间迁移到别的地方，此后不得知，如果新网说我是在造谣那可以给我几天时间，我相信凭新网的质量，再找点别的漏洞实在太容易了。

此次新网 DNS 故障为时好时坏，从 2004-05-24 下午开始，到目前为止（26 日下午）仍未恢复正常，用户管理的 MyDNS 功能无法进入，不是找不到页面，是连负责用户管理的那台服务器都连部上了，而新网未在自己网站的任何地方播放此消息并向用户致歉，更未提及赔偿事宜，也没有用邮件通知用户，只有等用户自己打过去的时候才会说。

毫无疑问，新网的服务非常烂，但你要说新网是国内知名 IDC 里最烂的，那我还不太同意。说句公道话，感觉新网的 MyDNS 还是不错的，在都是 150￥/年的价格水平里，用户可自定义的泛域名和子域名是数量最多的，而且更改后刷新速度极快，几乎是即时的，相比万网，声称更改后需要一天的时间才可以生效。