阿里云核心域名被劫持，幕后黑手是谁？

有人在阿里云的OSS被人上传了违规内容，然后举报到了美国Verisign公司，然后aliyuncs.com域名就强制解析走了，然后阿里云5小时又给恢复了。事情大概是这样的：

6月6日凌晨02:57，阿里云的核心域名aliyuncs.com被劫持指向到了sinkhole.shadowserver.org(网络安全组织的服务器)。

3分钟后，阿里云旗下产品OSS、CDN、ACR全都挂了。这也导致知名的网站博客园(cnblogs)也挂了。

凌晨4点，阿里阿云工程师确认问题，紧急修改DNS到223.5.5.5。但移动端无法修改，所有使用阿里云的APP产品都受影响。

早上8点：阿里云官方宣布域名修复完成。

阿里云花了5个小时才解封，顺道做了个备用导航。像我们普通域名DNS更新需要24-48小时，而阿里云只用了5小时。但对不明真相的人来说，这5小时很长了。这事说大也不大，说小也不小，就看怎么理解了。由于发生在凌晨，用大量普通用户并无感知，但技术圈可炸锅了，知名的技术社区V2EX。

好在阿来云搞了个“健康看板”，哪个服务出问题了一眼就能查到。也算是透明沟通，官方通报的也及时。

域名注册商VeriSign(美国公司)根据ICANN规则，将 aliyuncs.com 的解析权转移给非营利组织 Shadowserver。转移原因是：该域名下部分子域名被用于非法活动。根据ICANN政策，如果域名违反注册商条款(如用于犯罪)，注册商有权直接修改DNS记录。2023年，FBI曾联合Shadowserver查封多个勒索软件团伙的域名。

一般域名被劫持并指向 Shadowserver是大概是以下一些情况：

(1)这个域名下的网站有恶意软件，如病毒啊、僵尸网络控制服务器。

(2)钓鱼网站，比如假冒的银行、社交登陆界面。

(3)违法内容，比如SQ、盗版、违禁品的内容。

(4)参与了DDos攻击，一般被作为肉鸡攻击别人的服务器。