记一次子域名被黑事件

## 事件情况

2024年8月9日，今天没事时，打开 `Google Search` 看看日常检查网站访问数据，然后看到有消息通知，打开一看，8月5日的消息提示一个子域名有了新的所有者，看到这样的消息直接呆住了，怎么会有这样的事情呢？

仔细查看，提示中的邮箱也不是我的，内容如下：

![image](https://images.oldmoon.top/images/dingdangdog/dingdangdog-1723217152.jpg)

看到这样的信息，以一点点仅存网络安全知识，老狗立马意识到可能被DNS劫持了，打开该域名一看，果然是一个我从来没见过的网页，内容如下：

![image](https://images.oldmoon.top/images/dingdangdog/dingdangdog-1723217192.jpg)

图片中内容之所以打码，是因为内容是网络博彩网站类似的网站说明，看起来像是卖博彩网站源码的，维基百科查一下这个`Lazada`，说明如下：

> 来赞达（`Lazada Group`）是2012年成立的电子商务公司，在东南亚经营网上购物平台，2016年被`阿里巴巴`收购。2018年时它是东南亚最大的电商。

好家伙，这是给自己商品引流呢？

被黑的子域名：`https://admin.template.oldmoon.top/`（不用试了，已经删除DNS解析了）  
可能是黑客的邮箱：`[email protected]`

<!-- more -->

## 背景说明

`https://admin.template.oldmoon.top/` 这个域名原本是解析到我的一个Github仓库的，写了一个空的前端后台项目模板，用来演示使用，后来整理仓库觉得太乱了，就删掉了原有的仓库，但DNS配置一直没有删除，配置如下：

![image](https://images.oldmoon.top/images/dingdangdog/dingdangdog-1723217972.jpg)

> PS：DNS 解析用的是 `Cloudflare` 的。

根据上述内容，总结一下被黑时该域名的状态：
1. 通过自定义域名的方式，将域名指向某个Github仓库的 `pages`；
2. 仓库已经删除，但 DNS 解析未删除；
3. DNS解析使用 `Cloudflare`，且代理状态设置为 `仅DNS`。

## 被黑方式

> 留坑，暂时不知道黑客以什么方式劫持了DNS，期待懂得大佬给予解答，或者哪天看到答案来填坑。

## 解决

在域名已经不使用的情况下，可以尝试：
1. 删除 DNS 解析配置；
2. 将代理状态开启为代理；