有人在阿里云的OSS被人上传了违规内容,然后举报到了美国Verisign公司,然后aliyuncs.com域名就强制解析走了。事情大概是这样的:
6月6日凌晨02:57,阿里云的核心域名aliyuncs.com被劫持指向到了sinkhole.shadowserver.org(网络安全组织的服务器)。
3分钟后,阿里云旗下产品OSS、CDN、ACR全都挂了。这也导致知名的网站博客园(cnblogs)也挂了。
凌晨4点,阿里阿云工程师确认问题,紧急修改DNS到223.5.5.5。但移动端无法修改,所有使用阿里云的APP产品都受影响。
早上8点:阿里云官方宣布域名修复完成。
阿里云花了5个小时才解封,顺道做了个备用导航。像我们普通域名DNS更新需要24-48小时,而阿里云只用了5小时。但对不明真相的人来说,这5小时很长了。这事说大也不大,说小也不小,就看怎么理解了。由于发生在凌晨,用大量普通用户并无感知,但技术圈可炸锅了,知名的技术社区V2EX。
好在阿来云搞了个“健康看板”,哪个服务出问题了一眼就能查到。也算是透明沟通,官方通报的也及时。
域名注册商VeriSign(美国公司)根据ICANN规则,将 aliyuncs.com 的解析权转移给非营利组织 Shadowserver。转移原因是:该域名下部分子域名被用于非法活动。根据ICANN政策,如果域名违反注册商条款(如用于犯罪),注册商有权直接修改DNS记录。2023年,FBI曾联合Shadowserver查封多个勒索软件团伙的域名。
一般域名被劫持并指向 Shadowserver是大概是以下一些情况:
(1)这个域名下的网站有恶意软件,如病毒啊、僵尸网络控制服务器。
(2)钓鱼网站,比如假冒的银行、社交登陆界面。
(3)违法内容,比如SQ、盗版、违禁品的内容。
(4)参与了DDos攻击,一般被作为肉鸡攻击别人的服务器。
首先,卢松松博客旗下很多网站也出现过这种问题,尤其是营销网站(因为用户可仔细上传宣传资料),所以这个网站是被扫描最多的网站。我们也被阿里云OSS封禁过,因为有些用户的头像是违法的(其实我们并不知情)。
其次,猜测可能是OSS出问题,这里有SQ、欺诈内容,因为OSS可以放视频、图片、文件等等,很多用户都可以上传违规的东西,阿里云是被人搞了,域名被整体接管,导致合法服务连带遭殃。以前卢松松博客的OSS也被封过。你们现在也可以看看卢松松博客旗下网站,网站几乎所有的图片、CSS、JS文件用的都是阿里云OSS。后来未来规避风险,凡是用户上传的内容,全部用单独的OSS账号,这样避免混用,避免被整体封禁。
最后,阿里云名气太大了,一个小疏忽、一个小错误都会成为互联网热点新闻。
好,那么问题来了,到底是谁举报的呢?
最有可能的是某网络安全公司在同监控发现aliyuncs.com下的某个子域名被用于违法行为,他们收集了一些证据,证明“阿里云未尽到合理审查义务”,然后举报到了美国公司 Verisign,最后导致域名被强制解析了。
因为阿里云用的是的.COM域名,归美国Verisign公司管理。而美国有“紧急接管条款”,专用于处理高危域名,可快速执行司法命令,无需原持有者同意。
写在最后:
02:57出现故障 → 08:40完全恢复,阿里云只用 5小时43分就解决了。对比2014年根域名大瘫痪、早年百度域名劫持,阿里云的恢复速度已经算很快的了。
我猜未来阿里云也有可能启用CN域名,减少国际管辖风险,毕竟现在跟老美关系不太好,一言不合就管控也是麻烦。此次事件也能促使中国的云厂商未来在“国际合规”上更上一个新台阶。
源自:卢松松
