名校官网变色情站：DNS烂账的代价

你打开伯克利统计系的页面，想查因果推断的论文，结果跳出的是色情视频。这不是恶作剧——是34所顶尖大学的真实遭遇。

安全研究员Alex Shakhov最近发现，包括加州大学伯克利分校、哥伦比亚大学、圣路易斯华盛顿大学在内的名校官网子域名，正被用来托管色情内容和恶意诈骗。攻击者没黑进服务器，只是捡走了管理员忘删的DNS记录。

攻击手法：捡垃圾式劫持

大学IT部门有个常见操作：为某个项目申请子域名，比如causal.stat.berkeley.edu，同时创建一个CNAME记录指向外部服务。项目结束后，子域名停用，但DNS记录没人删。

CNAME记录没有过期时间。目标服务下线后，不会自动提醒管理员。攻击者扫描到这些"孤儿记录"，抢注对应的域名，就能接管大学子域名。Shakhov指出，Hazy Hawk团伙专门干这个。

被劫持的页面包括：

• causal.stat.berkeley.edu — 色情视频

• conversion-dev.svc.cul.columbia.edu — 色情内容

• provost.washu.edu — 虚假杀毒诈骗，声称电脑中毒并要求付费

Google搜索结果中，这类被劫持页面数以千计。

为什么大学特别容易中招

大学IT架构天生碎片化。各院系、实验室、学生组织都能独立申请子域名。人员流动频繁，离职交接清单里从来没有"清理DNS记录"这一项。

Shakhov说得很直接：「组织创建DNS记录，但从不清理。没有过期机制，目标失效也没警报，大多数大学IT部门甚至没有完整的子域名清单。」

这不是技术漏洞，是流程漏洞。攻击成本极低——扫描工具遍地都是，抢注废弃域名几美元搞定。防御成本却很高：需要资产盘点、生命周期管理、定期审计。

清单：五个被忽视的细节

这次事件暴露的问题，企业IT同样存在：

一、DNS记录即资产，需要台账

多数组织把DNS当基础设施背景噪音。实际上，每一条CNAME、NS、MX记录都是攻击面。没有清单，就不知道哪些记录指向已失效的服务。

二、去中心化是双刃剑

大学让院系自主申请子域名，提升了灵活性，但牺牲了可见性。企业里的影子IT同理——市场部开个SaaS账号，IT部门可能完全不知情。

三、人员流动=安全债务累积

项目owner离职，DNS记录成为无主之物。没有自动化的资产关联和过期提醒，这些记录会永久悬置，直到被攻击者发现。

四、搜索引擎放大危害

大学域名权重极高，被劫持的子域名能快速爬到搜索结果前列。这意味着攻击者不仅获得免费托管，还获得SEO红利。

五、清理比预防更难

创建DNS记录只需几秒钟，梳理存量记录却需要跨部门协调、历史文档考古、业务影响评估。技术债的利息，最终用声誉偿还。

为什么这事值得产品人关注

表面看是运维事故，实质是权限设计和生命周期管理的产品缺陷。DNS管理工具的市场长期被Infoblox、BlueCat等传统厂商占据，用户体验停留在2000年代。

痛点很明确：可视化缺失、自动化清理缺失、跨团队协作缺失。创业公司如DNSFilter、Control D在做安全层面的替代，但生命周期管理仍是空白。

更深层的问题是组织惯性。安全团队关注漏洞扫描、渗透测试，但DNS记录这种"配置层面的漏洞"不在传统评估框架内。直到丑闻爆发，预算才会倾斜。

对科技从业者来说，这是提醒：你的组织可能也有成吨的DNS烂账。检查方法很简单——用site:你的域名在Google搜索，看有没有异常子域名；用DNS历史查询工具，梳理CNAME指向的外部服务是否仍然可控。

Shakhov的发现没有涉及数据泄露或系统入侵，但声誉损失难以量化。当家长搜索"伯克利统计系"却看到色情内容，信任修复的成本远超预防投入。

这件事的核心判断：DNS hygiene（DNS卫生）将成为企业安全合规的标配检查项，相关产品机会正在浮现。现在动手清理，比等监管要求或公关危机更便宜。