编者按：以下是一个中国个人站长域名被盗的经历，大致是因为在Godaddy上使用了与CSDN相同的用户名和密码，而因为CSDN密码泄漏，导致Godaddy帐号被盗，最终使得域名被盗。防止Godaddy域名被盗只要有两点：Godaddy帐号和邮箱，Godaddy帐号使用单独的用户名（不要和其他网站用户名相同）和强密码，域名全部锁定（迁移解锁会发送邮件），邮箱使用安全的邮箱（建议使用Gmail，开启“两步验证”功能，全世界目前只有Gmail具有这种手机动态密码验证功能，这样除非Gmail用户密码和手机同时被盗，否则黑客很难攻破）。而如果Godaddy域名被盗之后，中国用户与其进行交涉就非常麻烦了，以下这个站长的经历就可见一斑，因此编者转发此文，以提醒广大站长保护好自己的域名。

以下是原文：

众所周知，域名是一个网站的根基，就像是大树的根、大楼下面的地皮，一旦域名被盗，对于网站的打击将是毁灭性的。黑客拿到域名的拥有权之后，便可以将域名解析到他自己的服务器上，将网站换成一个挂满木马或病毒的页面，这样网友一进入该页面就中木马。或者可以直接将域名跳转到色情网站上，通过该色情网站来获利，这都是短时间内获得暴利的办法。不过他也可以仿制原本的网站，使其界面看起来一模一样，然后将网站的广告全换成他自己的，通过广告来获得持续性的利益。总之域名被盗后，原站长就对自己的网站失去了一切控制权，就算更换新的域名，网友们在短时间内也很难获知新的域名地址，换域名之后网站必定元气大伤，网站名气大一点的，可能有一部分网友还会通过该网站名找过来，名气小的直接就废了。

由于缺乏相关法律保护，域名被盗之后，唯一的办法是找域名注册商申诉，因为公安局和法院通常都不会受理。而也没有任何规定显示域名注册商必须对域名被盗负责，由于每天接到的申诉过多，域名注册商为了避免承担不必要的风险，通常都会拒绝域名注册人的申诉，并让他们去报案或去法院诉讼，相互踢皮球。所以说现在域名基本上处于三不管的境地，一旦被盗，能找回来的寥寥无几，要想保护域名只能依靠自己。

笔者的个人网站创立于2005年初，其实早在2007年2月份域名就曾被盗过。域名是在新网的一家代理商注册的，新网是当时国内两大域名注册商之一。当时本人已有十几个重要的地方需要用到密码，如QQ、邮箱、服务器、FTP、网银等等。由于密码多了自己也老是忘记，为了记忆方便，我将两两不相关的地方设置为相同的密码，例如当时网站主服务器的登陆密码，与我域名管理邮箱的密码相同。这样做也是为了避免某一处密码泄露导致所有东西沦陷。谁知道当时那个黑客入侵了网站服务器，通过后门程序获得了网站服务器的密码，他或许是拿着这个密码将我所有地方都试了一遍，最终邮箱也被盗。之后他再通过这个域名管理帐户的密保邮箱，取回了域名管理帐户的密码，然后进入域名管理平台，将域名转出了该代理商的系统，过户到了他自己的新网帐户下面，域名的注册人名称和注册人邮箱地址也全被改了。后来我通过身份证和部分邮件（用了foxmail，邮件存在了电脑上）向网易申诉，拿回了邮箱，然后再联系那家代理商，可是代理商却说域名已不在他们系统内，他们无权操作，要我联系新网。我联系了新网，得到的答复却是无法受理。后来经过多次联系，新网那边终于答应受理，但需要那家代理商出具证明，证明该域名是我本人在他们那边注册的。为了取得该证明，我提供了域名注册成功的邮件，域名注册时的银行打款记录，域名续费时的打款记录等等，连同身份证一起发了过去。经过艰难的努力，最终终于拿回来了域名。事后我给新网的杨经理发了封感谢信。

自那之后，我认识到密码安全的重要性和严重性。我开始使用密码本保存密码，每个地方密码都不同，但随着时间的推移，互联网上需要用到密码的地方越来越多，不可能每个都使用密码本保存，每次输入起来也会不方便，于是我将密码分为3个等级，最初级的通常是一些临时性的帐号，例如到某论坛去下个东西，却发现必须登陆，于是随手注册一个帐号，这个帐号就算被盗对我没有任何损失，但这个地方或许将来我还会再来，所以这类帐号我统一用一个相对比较简单又容易记忆的密码。中级密码用在那些我经常要去的地方，且这些帐号即使被盗了也不会对我造成太大的损失，或者说我可以通过密保轻松的拿回来，所以这些地方我统一设置一个较复杂的密码。最高级别的密码是那些非常重要的地方，如QQ，邮箱，网银等等，我每个都设置不同的密码，密码同时包含数字+大小写字母+特殊符号，并且经常更换，但输入起来也非常麻烦，如今这类密码都已经有超过50个了。

2009年国内打击低俗网站，由于低俗没有明确的标准，当时大批网站被殃及，有些网站的域名甚至直接被域名注册商给锁了，由于域名放在国内，只要通信管理局下个通知给注册商，注册商就会把域名HOLD处理，这个域名就彻底无法使用了，一时间搞得人心惶惶。为了域名安全，我在那时将网站的其中一个域名转移到了美国最大的域名注册商GoDaddy。2010年GoDaddy支持了支付宝，付款和续费都更方便了，于是我又陆续将几个未建站的域名转了过去。有一次我试图修改一下某个域名的注册信息，结果GoDaddy马上给我的邮箱发来验证邮件，要求我回复该邮件或点击里面的链接，才会将新的信息更新到域名上，如果我没回复也没点击链接，那么对域名的修改就会无效，这封确认邮件至今还保存在我的邮箱内。正是由于这次的操作，让我误以为GoDaddy的安全机制很好，因此没有对我在GoDaddy的帐户引起重视，我将GoDaddy帐户的密码等级列为了中级，然后一门心思放在了保护好邮箱上面。谁也不会料到将来某天GoDaddy会取消这种验证机制。

鉴于之前转入GoDaddy的几个域名一直都挺安全，而国内的局势又比较动荡，经常传闻又要开始严打，于是在2011年我将自己网站的主域名也从新网转到了GoDaddy，至此我的GoDaddy帐户内已经有5个域名了。

大多数域名被盗的情况可能都是由于域名注册邮箱先被盗，继而导致域名被盗，因此保护邮箱安全是保证域名安全的最重要的措施。经历第一次域名被盗后，我立即给邮箱上了多重保护，例如实名认证，捆绑手机，邮箱改密通知，收到邮件短信通知等等，邮箱密码我还经常换。我想我的安全意识已经够强了吧，自从2007年之后我密码本上的那些帐号还一次都没有被盗过。没想到这次会阴沟里翻船，这一次域名被盗可能是由多方面原因造成的，我自己的疏忽，该黑客的精明，GoDaddy的漏洞以及各种巧合，现在想来，这或许就是命中注定该有此一劫。

2011年底，CSDN等网站发生密码泄露，而本人在CSDN上的帐号和密码与GoDaddy上的一模一样。前面说了由于以前的一次修改操作，GoDaddy发来验证邮件，因此我只将GoDaddy帐户的密码等级列为了中级，与CSDN等网站采用相同的帐号密码。CSDN泄密事件爆出来后，我也没想到要去改下GoDaddy的帐户密码，一方面我以为应该不会有人盯上我，另一方面，在那时我看来，就算黑客进入了我的GoDaddy帐户，他想改我域名的任何信息都必须经过我邮箱的验证，我只要保护好邮箱，并且不回GoDaddy发的邮件，不点击邮件中的任何链接，他就盗不走我的域名。

2012年2月22日，我的邮箱中收到了一封来自GoDaddy的邮件，我看了前面几句意思是说我的帐户信息被修改了，但没说具体什么被改了。然后下面大片大片的英文，我猜想可能是GoDaddy的修改验证邮件，只要我不回，不点链接肯定没事，于是我也没仔细看。不过考虑到域名安全的重要性，我当时还是立即登陆了一下我的GoDaddy帐户，很正常的进去了，检查了一下帐户，没发现啥被修改，域名也都还在，域名信息都正确。于是我更加确定那封邮件是来验证修改操作的了，本来想给帐户换个密码，但是GoDaddy的服务器在美国，我们这边要打开都很慢，当时点了几下网页都给卡死了，于是就放弃了，我想着大不了下次再来改吧，这件事就这么忽略过去了。

通常情况下，网站站长不需要频繁的登陆域名管理系统，如果不需要对域名进行什么修改的话，长时间不登陆也很正常。我一般一个月左右检查一次GoDaddy帐户和域名，不过假如去登陆的时候刚好碰上GoDaddy的网站打不开，那么少检查一次在我看来也不是什么大事。3月底的时候我打算再去看一下我的帐户和域名，可是半天打不开GoDaddy的网站。而自从2月22日之后GoDaddy没有再给我发来任何邮件，于是我估计那个黑客可能认为改不了我任何信息，于是就放弃了吧。我用第三方whois功能查询了我的所有域名，信息都是正确的，于是这次我虽然没进入到我的GoDaddy帐户中去，但我认为我的帐户和域名还是安全的。

直到4月16日晚上的时候，我才无意中发现我的所有域名已经被盗，域名的注册人、注册邮箱都已全部被改。我立即意识到出大事了，赶紧登陆GoDaddy帐户，却提示密码错误。然后使用GoDaddy网站提供的取回密码功能，却提示邮箱地址不正确，说明GoDaddy帐户被盗后，连密保邮箱也已被换了。刚发现的时候我都不敢相信自己的眼睛，一直查询了很多遍，并且在登陆GoDaddy帐户时提示了好几次密码错误，我才确认域名已被盗。顿时间我感觉天塌下来一样，整个人都呆若木鸡了。我实在想不通该黑客是如何盗走我的域名的，因为我的邮箱内自从2月22日之后再没收到过GoDaddy的邮件，按照我之前的理解，黑客改我的帐户信息或域名信息时，GoDaddy应该给我发送验证邮件的，只有我确认过了，修改才能生效。难道是我的邮箱已被盗吗？我立即登陆邮箱，查询了邮箱近期登陆记录，自2月22日开始到现在，所有登陆IP都是我本人的，说明邮箱没有被盗。而且即使真的邮箱被盗，我手机肯定会收到短信通知的。

我查询了域名的whois信息，发现我的5个域名的最后更新时间（Last Update）都是4月8日，我再查询域名的whois历史记录，5个域名在4月8日之前的信息都还是我本人的，4月8日之后就都是那个黑客的了。因此可以确定这5个域名都是在同一天（4月8日）被过户的，但该黑客过户后并没有更换域名的DNS服务器，也就是没有改域名的解析，所以我的网站一直都能正常打开，没有任何人知道网站的域名已经被盗，这也是导致我到4月16日才发现的原因。

4月16日当晚，我百度搜索“godaddy 被盗”，发现网上已有许多类似的案例。就在前不久，4月1日愚人节，国内著名体育赛事直播网站“直播吧”（zhibo8.com）宣布域名被盗，很多人甚至以为是愚人节玩笑。黑客已经仿制了“直播吧”原网站，并修改了DNS服务器，黑客在他自己的这个“直播吧”网站上挂满了赌球和博彩广告，而网友们却还以为是原直播吧的站长挂的广告，因为对于他们来说这个“直播吧”网站没有什么太大变化，只有广告换了而已。16天过去了，zhibo8.com依然没有拿回来，看来我的情形也不容乐观。

现在我的域名被盗了，我必须立即联系域名注册商GoDaddy，这是拿回域名的唯一途径，可是我都不知道该如何联系他们，GoDaddy网站上提供了电话，可是我英文又不好，打过去也说不上话。后来我找到了“爱晴皇岛”的那篇著名的GoDaddy域名被盗找回教程，教程里面说帐户或域名被盗后15天以内为申诉期，在15天内联系GoDaddy并提交相关证据，就能撤消之前的变更。

按照教程里提供的联系邮箱地址，4月17日凌晨我给GoDaddy的撤消部门（undo@godaddy.com专门处理域名修改撤消操作的部门）去了第一封邮件，告诉他们我的帐户和域名在4月8日都被盗了，请求他们帮助我。第2天他们答复我了，答复内容在我意料之中，但还是令我非常沮丧。他们说任何域名的争议都应由域名仲裁机构或法院来解决，他们作为域名注册商无权处理域名争议。不过我还注意到他们说了一句关键的话，“由于该变更已发生太久时间，我们无法帮助你”。按照教程里说的，15天以内是申诉期，我域名8号被盗，我17号凌晨（美国当地时间应该是16号白天）联系他们，才过去8天不到，为什么他们会说变更已发生太久呢，我立即回信对他们解释。第2封信中我说，“我昨天一发现域名被盗就立即联系了你们，这距离4月8日域名被盗仅仅过去一星期时间，由于该黑客没有修改掉域名的DNS服务器，我的网站至今都能正常访问，导致我没有及时发现域名被盗。而且，我的邮箱内没有收到任何GoDaddy发来的通知邮件，否则我将更早发现被盗。这些域名对我非常重要，我请求你们帮助我，我有足够的证据能证明这些域名都是我的”。由于英文不好，我借助谷歌翻译和金山词霸，一字一句的把这些话翻译成英文，给他们发过去。第2天，4月19日凌晨他们给我的答复非常简练，就一句话，“同前面说的一样，由于该变更已发生太久时间，我们无法帮助你”。

我很不服气，因为我觉得作为网站的管理者不可能天天没事去查自己的域名whois信息，天天去登陆域名管理帐户。假如黑客盗走了域名却不修改域名DNS，网站的管理者根本很难发觉域名被盗。我能在8天之内发现被盗，也纯属运气，刚好那天突发奇想去查一下whois信息，要不然一个月之后才发现也很有可能。现在我在15天的期限内联系他们，他们为什么要拒绝我的申诉呢。于是第3封邮件我略带质问的口气问他们，为什么我在15天的期限内联系你们，你们却不受理。我请求你们对我的域名展开调查，我相信我能提供所有的证据。30分钟后他们就答复我了，这次速度是有始以来最快的，但答复内容也是最简练的：“再次申明，由于该变更已发生太久时间，我们无法帮助你”。

由于GoDaddy一直坚称变更已发生太久时间，我想我的域名可能在4月8日之前就已被盗。为了了解该黑客盗走域名的全过程，我自己开始展开调查。我又仔细的看了2月22日收到的那封邮件，里面写着我的帐户信息已被修改了，如果这个修改不是我本人操作的可以与他们联系。英文不好害死人啊，当初没有仔细看完这封邮件，以为是要我确认操作呢，谁知道它只是一封通知邮件，修改已经生效了。可是到底什么信息被改了，这封信里没说。2月22日我登陆进GoDaddy检查了，没发现问题。那是因为该黑客在那天只修改了帐户的密保邮箱，而帐户密码，联系人信息，和域名等都没动。而密保邮箱在修改密码页面上，因此我那天检查没有发现密码邮箱已经被换掉了。

我又去查了域名whois历史记录，发现在3月10日之前的记录里，52tian.net这个域名的最后更新时间（Last Update）都是2011-05-16，也就是我从新网转入到GoDaddy的日期，而3月10日到4月8日这段时间内的记录显示最后更新时间（Last Update）则是3月10日。其他几个域名在这段时间内的记录里，最后更新时间（Last Update）也全是3月10日，除了这个日期字段变了以外，其他信息都未发生变化，都是我本人的信息。由此可以断定，在3月10日这天该黑客对我的域名进行了一个操作，这个操作没有修改域名的任何信息，但却使得域名的Last Update字段会被刷新。因为我之前将域名从新网转入到GoDaddy后，保持了域名信息不变，但Last Update却被刷新了。所以可以确定，域名转出注册商的操作，可以实现不改域名的任何信息，但又刷新Last Update。而当前我的几个域名都还是在GoDaddy，并没有被转到其他注册商去，所以3月10日黑客做的不是转出操作，我猜测或许是注册商内部域名过户操作，也叫域名PUSH。即将域名从一个域名管理帐户转给另一个域名管理帐户，域名还是停放在GoDaddy，只是被转到不同的帐户下了。为了验证我的猜想，我特意在GoDaddy重新注册了2个帐户和1个域名，然后将该域名从原帐户过户到新帐户，在过户过程中，有2个选项，“保持域名信息不变”和“保持域名DNS服务器不变”，只要勾选了这2个选项，那么过户之后域名的任何信息都不会变，只有Last Update被刷新。由此我可以断定该黑客在3月10日同一天，将我GoDaddy帐户内的所有域名，过户到了他自己的帐户内。