这是一个创建于 1542 天前的主题,其中的信息可能已经有所发展或是发生改变。
发呆中突然想到,具体情节如下:
1. A 与 B 是以前合作关系,这天 A 准备自己演出一场戏
2. A 先登录自己的业务服务器,将自己的某业务修改或删除,致使其不能正常运行
3. (备注:A 与 B 都知道这台服务器的密码,但是 B 已经退出了此业务很久,A 也没有改密码)
4. 然后 A 向 B 要了当前网络的 IP ( B 不知道 A 要拿来干嘛)
5. 然后 A 将其服务器内的操作日志 IP 全部改为了 B 的 IP,并想让 B 背锅
6. 请问 B 用什么方法证明自己的清白
 |
1
MakeItGreat 2020-08-27 10:20:27 +08:00 via Android
然后 A 向 B 要了当前网络的 IP
这一步可以证明 |
 |
2
LZSZ 2020-08-27 10:21:13 +08:00
然后 A 向 B 要了当前网络的 IP
|
 |
3
sharkli 2020-08-27 10:22:55 +08:00  9
A 是个傻子
|
 |
4
mokeyjay 2020-08-27 10:24:44 +08:00
查一查路由网关的日志不就好了
|
 |
5
VRYANG 2020-08-27 10:24:48 +08:00
网络出口是不是也有记录?或者 IP 的运营商(成本是不是有点大)
|
 |
6
zhoumouren OP |
 |
7
kop1989 2020-08-27 10:27:53 +08:00
先回答问题:B 将 IP 给 A 是一定有痕迹的。
然后是吐槽时间: 1 、A 和 B 均可以操作服务器,那么 A 和 B 竟然不分用户? 2 、操作日志 IP 可被 A 和 B 的用户修改,这就导致日志就没有证据效力。(你往自己存折上手写一个 100 亿,银行会认么?) 3 、B 其实要承担次要责任。因为 B 没有实质性退出管理(还拥有登录的能力) |
 |
8
cmdOptionKana 2020-08-27 10:28:01 +08:00
由于服务器完全受 A 的控制,服务器内的一切内容皆可由 A 修改,因此不属于客观证据,单凭 A 的单方面说法不可以证明任何事情,B 不需要自证清白。
另外,就算 A 没有问 B 要网络 IP,IP 这个东西本身也不具备私密性,也就是说 B 没有义务也没有可能保护自己的 IP 不被人获知,因此这个 IP 也不能成为证据。 |
 |
9
pushback 2020-08-27 10:28:12 +08:00 3
经典黑客:“在吗?验证码发一下”
|
|
10
zhoumouren OP @sharkli 怎么说
|
 |
11
eason1874 2020-08-27 10:28:55 +08:00
1. B 报警。
2. 警察找服务器的服务商提取网关日志。 3. A 被抓获。 |
|
12
zhoumouren OP @kop1989 关键是 B 和 A 已经终止合作,A 自己却迟迟不改的,但是密码也不应该只有 A/B 两个人知道
|
|
13
eason1874 2020-08-27 10:31:57 +08:00
不用想其他有的没的了,最终结果一定是 A 被抓。
《网络安全法》第二十一条第三款规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月” |
|
14
zhoumouren OP |
|
15
kop1989 2020-08-27 10:32:10 +08:00
@zhoumouren #12 如果是商业上的终止的话,B 就没有责任。反之,如果是同事之间的默认行为,其实 B 是有次要责任的。
|
|
16
MakeItGreat 2020-08-27 10:34:16 +08:00 via Android
曾经 v 站有个人经常在别人求助的帖子说:让我 ssh 上去看看
后来被封了 虚假的黑客:在?把 ssh 密钥发一下 真正的黑客:扛走服务器 |
|
17
cmdOptionKana 2020-08-27 10:34:54 +08:00
还有一点,一般还需要作案动机,A 需要说出 B 为什么要这样做,缺少作案动机也会影响定罪。
而如果 A 与 B 之间有纠纷、矛盾,B 就不可能轻易把 IP 发给 A 。(所以这个故事可能还需要补充更多细节才更有真实性) |
 |
18
coderluan 2020-08-27 10:35:17 +08:00 1
楼主改成"A 偷偷查了 B 的 IP"不行吧, A 太惨了, 让你说的和傻逼一样, 还想嫁祸人......
|
 |
19
touno 2020-08-27 10:39:39 +08:00
终归梦一场~
|
|
20
zhoumouren OP @kop1989 嗯,是的
@MakeItGreat “在吗?验证码发一下” @cmdOptionKana A 虽然和 B 终止了合作,但是私底下还是朋友关系,但是 A 又对 B 的退出抱有一点的不爽,导致自己很累,于是就想此办法小报复一下,具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP @coderluan 具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP |
 |
21
joyhub2140 2020-08-27 10:41:59 +08:00
网警一对比,在 B 提供 IP 地址之前,A 就有登录痕迹,A 逃不了。
|
 |
22
across 2020-08-27 10:42:32 +08:00 1
虽然我偷过了这家,可走前都墙壁上写是 B 干的,你们抓我 A 干什么?
|
|
23
zhoumouren OP @joyhub2140 网警也可以看到此服务器的 IP 登录记录嘛
|
|
24
zhoumouren OP @across 貌似有点相似
|
 |
25
xomix 2020-08-27 10:43:16 +08:00 1
运营商有每个节点的 3 个月流量数据,全数据,可以还原很多信息,所以不要做梦以为改个服务器日志就能瞒天过海了,你这样还不如给 b 的电脑下木马好点呢。
|
|
26
zhoumouren OP @xomix 下点木马,不如把 B 的电脑拿过来操作 😹
|
|
27
cmdOptionKana 2020-08-27 10:52:45 +08:00
不过现实中还真的有可能发生类似的荒诞事情,比如前几天那个肘击别人胸部后被踢了的人,他当时还能走路,几天后却可以说自己当时被踢到粉碎性骨折,警方还真的把见义勇为者给刑事拘留了。
因此,如果 A 有能力走一下人际关系,也许这个被骂很蠢的 A 还真能陷害 B 。 |
|
28
cmdOptionKana 2020-08-27 10:57:08 +08:00
@zhoumouren 你补充说明,只说了 A 对 B 不满,但没有说明 B 有什么不满,B 还是没有作案动机啊。
|
 |
29
goodryb 2020-08-27 10:59:12 +08:00 1
我怎么感觉楼主是在钓鱼啊,难道楼主就是那个 A
否则 A 和 B 之间怎么会有一个 C 对事情经过这么清楚 楼主你还是收手吧 |
 |
31
DJQTDJ 2020-08-27 11:03:22 +08:00
>4. 然后 A 向 B 要了当前网络的 IP ( B 不知道 A 要拿来干嘛)
>5. 然后 A 将其服务器内的操作日志 IP 全部改为了 B 的 IP,并想让 B 背锅 >6. 请问 B 用什么方法证明自己的清白 linux history |
|
32
zhoumouren OP |
 |
33
jimmy2010 2020-08-27 11:11:13 +08:00 via Android 1
你就是 A,你果然很傻😂
你不适合干这个,不爽就去打一架更好😘 |
|
34
DJQTDJ 2020-08-27 11:12:24 +08:00
|
 |
35
jtwor 2020-08-27 11:13:32 +08:00
如果 4 改为=>
A 通过 B 的电脑(或远程)去操作服务器 |
|
36
zhoumouren OP |
|
37
jtwor 2020-08-27 11:26:35 +08:00
@zhoumouren 那肯定偷偷呀。。
|
 |
38
dko 2020-08-27 11:28:50 +08:00
你们公司没有堡垒机吗。。
|
 |
39
libook 2020-08-27 11:31:52 +08:00
所以有没有修改了日志的日志?
假设 A 删除了修改日志的日志,那么也应该有删除了日志的日志。 如果有相关日志,就说明日志被人动过,则不能被当做有效证据。 另外系统里很多地方都会记录日志,所以可以尝试找找别的线索,比如 Shell 的 history 、防火墙日志等等。 “具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP”那么 B 的电脑里就会有访问这个网页的历史,如果网页是部署在 A 电脑上的话就很明了了,最糟糕的情况就是部署在境外的 VPS 上。可能报警硬钢到底能有更多资源提供更多线索。 安全方面来说,这个日志管理机制是不合规的;登录系统应当有全程操作的记录(甚至录像);相关日志和记录不可篡改、不可人为删除、记录和审计日志的进程不可被干扰或终止,日志和记录保留 180 天以上。账号一人一号,且管理员三权分立,并定期审计。 |
|
40
zhoumouren OP @libook 这些都是大公司才会做的,小公司都是直接 root 上手
|
|
41
libook 2020-08-27 11:39:02 +08:00
@zhoumouren 我们之前也是这么想的,但是 2019 年网络安全法开始实施以及等保 2.0 同步生效之后,各机关会强制监督实施,多数互联网企业都能被评为三级,所以会被强制要求达到三级安全标准;北京这边各部委已经轮番查了好几遍了,不符合要求的话会责令限期整改,未在规定期限内完成整改的会有行政处罚。
如果你们还没遇到相关要求的话,可能只是还没执行到你们而已。 |
 |
42
speculatorA 2020-08-27 11:49:11 +08:00
自首吧
|
|
43
DJQTDJ 2020-08-27 11:52:52 +08:00
|
|
44
zhoumouren OP |
 |
45
zsdroid 2020-08-27 12:24:45 +08:00
闲的蛋疼
|
 |
46
IGJacklove 2020-08-27 12:55:23 +08:00
我刚开始以为你是 B,现在我怀疑你是 A...
|
 |
47
flowercoder 2020-08-27 13:11:32 +08:00
没啥好自证的,只要说自己不知道就行了,你干坏事要时间要地点要方式最重要还要动机,你其实只要反问要问你的人,我的动机是啥?如果你合理的解释后他觉得你有动机,那我觉得这种这种事已经是往强加之罪或是扯皮的方向发展了。
|
 |
48
crazytree 2020-08-27 13:44:25 +08:00
你说的这个 B,是不是你自己
|
 |
49
szkoda 2020-08-27 13:45:01 +08:00
看了楼主之前发的帖子:
1.回答别人技术问题会不会被人拿来犯罪,好担心 |
|
50
szkoda 2020-08-27 13:46:48 +08:00
|
 |
51
no1xsyzy 2020-08-27 14:47:54 +08:00
@cmdOptionKana #17 想起 “主客观相统一”,应该也需要运用这条。
很难说没有承认也没有确定作案动机会结束侦查。常识上都会觉得这是栽赃。 @zhoumouren #14 只要能看出 B 没有访问…… 因为 B 业务脱离应该是不会访问的,就算同服务器有其他业务,访问了,时间也是对不上的。 @kop1989 #7 实践上如何使得自己退出管理(以密码方式登录)? |
|
52
zhoumouren OP |
 |
53
dddd1919 2020-08-27 14:54:58 +08:00 1
你说的这个 A 是不是就是你自己
|
|
54
kop1989 2020-08-27 14:57:07 +08:00
@no1xsyzy #51 如果是 lz 的情况的话,A 和 B 有商务上的终止流程,比如合同作废啊、订立新合同啊等等。
如果是相同单位的同事之间,B 就要主动和上级沟通并提示上级密码共用,让上级设置一个 B 不知道的密码即可。这样既可以保证服务器管理职责的交接完毕,也可以独善其身。 |
|
55
no1xsyzy 2020-08-27 15:11:33 +08:00
@kop1989 #54 如果 A 因为各种原因或者就是强行把密码改回去,然后闲聊跟 B 说了还是把密码改回去了,B 也作了回应(比如)。即证据上确认 B 尽管交接出去了,但实质上仍然具有访问的能力。那 B 有责任吗?
|
|
56
zhoumouren OP @dddd1919 相反,更觉得是算是 B
|
|
57
kop1989 2020-08-27 15:16:02 +08:00
@no1xsyzy #55 我个人认为是没有,因为这过程中有 A 的故意成分,且 B 已经与上级明确管理责任的结束并表达了取消访问权限的意愿。这就跟 A 故意把日志 ip 改为 B 的 ip 一样,属于一种铺垫栽赃的行为。
|
 |
58
xuanbg 2020-08-27 15:23:15 +08:00
假的真不了,A 的破绽太多了。。。光日志里面改成 B 的 IP 有毛用,B 完全可以申请证据无效,因为这个数据是可篡改的。云服务运营商那边的服务器或数据库的访问记录才是铁证。
|
|
59
no1xsyzy 2020-08-27 15:29:42 +08:00
@kop1989 #57 懂了,你的主张是程序。无论是外部的合同程序,还是内部的汇报程序,走过相应程序才能免于次责。的确是可操作的实践
|
 |
60
cherryas 2020-08-27 15:54:16 +08:00 1
你说的这个 A 是不是就是你自己
|
 |
61
HertzHz 2020-08-27 15:56:58 +08:00
这个我也想说,网络攻击这么多我发现根本没证据,你说你用银行漏洞把钱转走了,银行说你干的就是你干的,他们的日志是你的 IP 就是你干的,但是这日志明明是随便写的,我写谁都可以,这真的非常迷惑。即便是运营商还是服务器,他们上面的日志都是可修改的,有权限的人想把攻击者的 IP 改成谁都可以
|
 |
62
HankAviator 2020-08-27 17:09:31 +08:00 via Android
求楼主别再滥用代码块格式了,AMP 页面简直😡
|
 |
63
Hilalum 2020-08-27 17:10:12 +08:00
单看标题,我污了
|
 |
64
defunct9 2020-08-27 18:22:17 +08:00
@MakeItGreat 不是曾经,而是现在我也经常说这句话。
开 ssh,让我上去看看 |
 |
65
zzxCNCZ 2020-08-27 22:46:59 +08:00
B 提供了和 A 的聊天记录
|
 |
66
freelancher 2020-08-28 05:16:01 +08:00
????
真当警察是吃干饭的啊。出了经济损失。肯定是要报警的。 而且疑罪从无,你无法证明是 B 干的。怎么都不行。而且这些证据都可以伪造的。等于零。 查出伪造证据,A 就是进牢里捡肥皂。 做案最重要的是动机。B 没有动机。只有 A 有动机。所以 A 不是死定了。 当自己是天才的话,逻辑先理清楚吧。现代社会一般都是把漏洞堵死了。 |
 |
67
yankebupt 2020-08-28 09:43:48 +08:00
连 199X 年古董级的 windows server 都没这么低的安全级别.
密码认证方法不 rotate?终止不 revoke? 如果 B 反咬一口你的系统就宝塔面板 PHP 漏洞级别的那种,是某个不知道的 C 通过漏洞黑了你系统并制造同时嫁祸 A 和 B 的情况,A 就拿不出任何证据来反驳?智能卡没有指纹没有连张脸的照片都没有,靠南山必胜客? 下次直接加入钓鱼名单,这次算了 |
Select Language