荷蘭域名服務器失守：成千網站現惡意軟件

成千的荷蘭網站這個星期出現惡意軟件。最初認為是SIDN的域名服務器（DNS）被人破解利用。SIDN和荷蘭域名擴展.nl的管理機構。

星期一，有報告指荷蘭一家大型在線電子零售商Conrad.nl的網站出現惡意軟件，網站隨即下線。似乎是個孤立的個案，但是馬上發現原來是個大得多的問題。

據幾個新聞報道說，黑客于星期一早上成功進入SIDN的DRS（域名登記系統），有效地把SIDN的DRS流量導向一個外部域名服務器。荷蘭安全公司Fox-IT對事件研究過，據他們的說法是，這次的侵入影響到數千個域名，毫無戒備的用戶訪問受影響域名時會被轉到一個“正在修建中”的網頁上，網頁則同時會通過一個iframe送出惡意軟件。惡意軟件是一個黑洞（Black Hole）攻擊套件，會通過Java和PDF的漏洞給自己取得電腦訪問權。一旦下載后，它還會下載別的惡意軟件，進而通過Tor與C&C服務器通話。

誤導的報道

盡管改向較為迅速地被發現，問題的連鎖反應卻持續了相當長一段時間，原因是域名服務器給出的DNS時間是24小時，也就是說，一旦設好后，許多互聯網服務提供商（ISP）會在24小時內繼續使用有錯誤的DNS域。

在這期間，SIDN發布了一個聲明，指有好幾個新聞報道帶誤導成分：“星期天早上，一個特別的增強型注冊的DRS戶頭（Digitalus）對DNS做了改動。此增強型注冊的域名服務器的內容被虛假的內容替代。因此，欲訪問此增強型注冊網頁的客戶被改向訪問別的地方。SIDN的DRS并未受到干擾，否則增強型注冊都會出現潛在的大問題，會影響到這些增強型注冊的客戶和其他市場玩家。我們希望強調的是，SIDN并無受到危害。”

第二波事件

這次事件是SIDN兩個月內面臨的第二次安全問題。上個月，黑客用SQL注入攻擊的辦法成功破解了域名管理員的系統，然后把一些惡意軟件置入他們的服務器里。不過，管理員強調說，上次的黑客攻擊是與目前的問題是不相關的，而且用來重新設置路由的DRS戶頭登錄也不是上一次得到的。其間，荷蘭國家電腦安全中心正在調查此次事件。