你打开伯克利统计系的页面,想查因果推断的论文,结果跳出的是色情视频。这不是恶作剧——是34所顶尖大学的真实遭遇。
安全研究员Alex Shakhov最近发现,包括加州大学伯克利分校、哥伦比亚大学、圣路易斯华盛顿大学在内的名校官网子域名,正被用来托管色情内容和恶意诈骗。攻击者没黑进服务器,只是捡走了管理员忘删的DNS记录。
攻击手法:捡垃圾式劫持
大学IT部门有个常见操作:为某个项目申请子域名,比如causal.stat.berkeley.edu,同时创建一个CNAME记录指向外部服务。项目结束后,子域名停用,但DNS记录没人删。
CNAME记录没有过期时间。目标服务下线后,不会自动提醒管理员。攻击者扫描到这些"孤儿记录",抢注对应的域名,就能接管大学子域名。Shakhov指出,Hazy Hawk团伙专门干这个。
被劫持的页面包括:
• causal.stat.berkeley.edu — 色情视频
• conversion-dev.svc.cul.columbia.edu — 色情内容
• provost.washu.edu — 虚假杀毒诈骗,声称电脑中毒并要求付费
Google搜索结果中,这类被劫持页面数以千计。
为什么大学特别容易中招
大学IT架构天生碎片化。各院系、实验室、学生组织都能独立申请子域名。人员流动频繁,离职交接清单里从来没有"清理DNS记录"这一项。
Shakhov说得很直接:「组织创建DNS记录,但从不清理。没有过期机制,目标失效也没警报,大多数大学IT部门甚至没有完整的子域名清单。」
这不是技术漏洞,是流程漏洞。攻击成本极低——扫描工具遍地都是,抢注废弃域名几美元搞定。防御成本却很高:需要资产盘点、生命周期管理、定期审计。
清单:五个被忽视的细节
这次事件暴露的问题,企业IT同样存在:
一、DNS记录即资产,需要台账
多数组织把DNS当基础设施背景噪音。实际上,每一条CNAME、NS、MX记录都是攻击面。没有清单,就不知道哪些记录指向已失效的服务。
二、去中心化是双刃剑
大学让院系自主申请子域名,提升了灵活性,但牺牲了可见性。企业里的影子IT同理——市场部开个SaaS账号,IT部门可能完全不知情。
三、人员流动=安全债务累积
项目owner离职,DNS记录成为无主之物。没有自动化的资产关联和过期提醒,这些记录会永久悬置,直到被攻击者发现。
四、搜索引擎放大危害
大学域名权重极高,被劫持的子域名能快速爬到搜索结果前列。这意味着攻击者不仅获得免费托管,还获得SEO红利。
五、清理比预防更难
创建DNS记录只需几秒钟,梳理存量记录却需要跨部门协调、历史文档考古、业务影响评估。技术债的利息,最终用声誉偿还。
为什么这事值得产品人关注
表面看是运维事故,实质是权限设计和生命周期管理的产品缺陷。DNS管理工具的市场长期被Infoblox、BlueCat等传统厂商占据,用户体验停留在2000年代。
痛点很明确:可视化缺失、自动化清理缺失、跨团队协作缺失。创业公司如DNSFilter、Control D在做安全层面的替代,但生命周期管理仍是空白。
更深层的问题是组织惯性。安全团队关注漏洞扫描、渗透测试,但DNS记录这种"配置层面的漏洞"不在传统评估框架内。直到丑闻爆发,预算才会倾斜。
对科技从业者来说,这是提醒:你的组织可能也有成吨的DNS烂账。检查方法很简单——用site:你的域名在Google搜索,看有没有异常子域名;用DNS历史查询工具,梳理CNAME指向的外部服务是否仍然可控。
Shakhov的发现没有涉及数据泄露或系统入侵,但声誉损失难以量化。当家长搜索"伯克利统计系"却看到色情内容,信任修复的成本远超预防投入。
这件事的核心判断:DNS hygiene(DNS卫生)将成为企业安全合规的标配检查项,相关产品机会正在浮现。现在动手清理,比等监管要求或公关危机更便宜。
热门跟贴