你的网站可能正被陌生人“偷偷开分店”?
早上搜自家品牌,结果跳出来一堆赌博、药品链接,点进去域名还是 xxx.com 下的——别怀疑,这不是搜索引擎抽风,是有人用你家的域名开了家黑店。这事不常被发现,但一旦中招,轻则用户骂你“怎么卖假药”,重则谷歌直接给你主站降权,流量说没就没。
为什么攻击者专挑你的子域名下手?
关键就卡在一条 DNS 记录上:通配符记录(*.yourdomain.com)。
它本意是方便——比如所有临时活动页都自动指向某台测试服务器。
可问题来了:服务器删了,IP 回收了,但这条 DNS 记录还挂着。
攻击者就爱扫这种“空壳 IP”。只要他们抢到这个 IP,再注册个 promo.yourdomain.com,你的品牌名就立刻成了他们的门面。
真实发生过的事:一家电商搞年中大促,搭了个临时活动页 sale.company.com,活动结束服务器一关,DNS 忘删。半年后,这个子域名突然出现在黑产论坛里,页面做得和官网几乎一样,专门骗用户输支付密码。客服电话被打爆,SEO 排名也掉了好几页。
这种“挂羊头卖狗肉”的后果,比你想的更实在
- 用户看到
xxx.com开着赌博站,第一反应不是“黑客干的”,而是“这公司靠不靠谱?” - 搜索引擎爬虫照常访问这些子域名,抓到满屏垃圾内容,会直接给整个
xxx.com打上“低质站点”标签——主站排名跟着往下掉。 - 更麻烦的是钓鱼。仿得越像,骗得越真。账号、银行卡信息被套走,后续的法律风险和用户赔偿,根本没法按“技术事故”来推脱。
别等用户截图发你才行动,现在就能盯住它
最简单的办法:每周花 5 分钟,用你手边已有的工具查一遍。
比如在 Google 搜 site:yourdomain.com,看看有没有陌生子域名被收录;或者把 yourdomain.com 加进 Google Alerts,新页面一上线你就收到邮件提醒。
我们帮客户做过一次扫描:脚本跑完报出一个 test-api.yourdomain.com,内部系统里压根没这玩意。点进去全是英文垃圾文章,刚上线不到一天。立刻删 DNS、提 Google 移除,连搜索引擎缓存都没来得及存,事儿就摁灭了。
真撞上了,三步必须马上做
第一步:砍掉那条错误的 DNS 解析
进你天天用的 DNS 后台(Cloudflare / 阿里云 DNS / 腾讯云 DNS 都行),找到对应子域名的 A 记录或 CNAME,直接删掉。如果通配符 * 还开着,干脆先禁用它。
第二步:让搜索引擎快点“忘记”它
打开 Google Search Console → 左侧菜单点「删除」→ 「临时移除 URL」→ 把恶意子域名完整地址(比如 http://spam.yourdomain.com/)粘进去提交。Bing Webmaster Tools 也同步操作一遍。
第三步:留证 + 清理源头
截下恶意页面、DNS 设置界面、dig suspicious.yourdomain.com 的命令行结果,存个文件夹备用。然后顺手翻一遍所有 DNS 记录,把那些写着“2022 年测试用”“旧版后台”“临时 API”的解析,全删干净。
下次别再让别人“免费借用”你的域名
- 通配符记录?能不用就不用。哪怕多点几下鼠标,也给每个子域名单独配 A 记录。
blog.yourdomain.com、shop.yourdomain.com这些该留的留,*.yourdomain.com这种“万能钥匙”,建议锁进抽屉。 - 每季度翻一次 DNS 后台。就像整理邮箱收件箱一样,把停用项目对应的子域名记录划掉。别信“以后可能用得上”,真要用,5 分钟就能加回来。
- 用 Cloudflare?打开它的“DNS 变更告警”。设置成“只要有新增子域名解析就发邮件”,比人工巡检靠谱多了。
后来那家电商怎么做的?
所有子域名开通必须走内部审批工单,上线时绑定项目周期,项目结项自动触发 DNS 清理任务。再没出过类似问题,主站流量也慢慢稳住了。
就现在,打开浏览器,按这个顺序操作
- 新开一个标签页,访问 SecurityTrails 或 VirusTotal(你平时查域名安全就用它),输入你的主域名,点“Subdomains”查看当前全部活跃子域名。
- 对照列表,把不认识的、看着像临时测试的、跟已下线项目有关的,统统标出来。
- 拿标出的子域名,挨个在浏览器里打开看看;再打开终端,敲
dig 标出的子域名,看它到底指向哪台服务器。 - 确认是黑的?立刻切到你正在用的 DNS 后台(就是你改过 CNAME 的那个),删掉对应记录。
- 最后切到 Google Search Console,进「删除」→「临时移除 URL」,把刚才确认的恶意地址一个个提交。
做完这五步,你清掉了眼前的风险,也亲手给自己的域名加了一道锁。