这是一个创建于 1926 天前的主题,其中的信息可能已经有所发展或是发生改变。
发呆中突然想到,具体情节如下:
1. A 与 B 是以前合作关系,这天 A 准备自己演出一场戏 2. A 先登录自己的业务服务器,将自己的某业务修改或删除,致使其不能正常运行 3. (备注:A 与 B 都知道这台服务器的密码,但是 B 已经退出了此业务很久,A 也没有改密码) 4. 然后 A 向 B 要了当前网络的 IP ( B 不知道 A 要拿来干嘛) 5. 然后 A 将其服务器内的操作日志 IP 全部改为了 B 的 IP,并想让 B 背锅 6. 请问 B 用什么方法证明自己的清白  | 1 MakeItGreat 2020-08-27 10:20:27 +08:00 via Android 然后 A 向 B 要了当前网络的 IP 这一步可以证明 |
 | 2 LZSZ 2020-08-27 10:21:13 +08:00 然后 A 向 B 要了当前网络的 IP |
 | 3 sharkli 2020-08-27 10:22:55 +08:00  9 A 是个傻子 |
 | 4 mokeyjay 2020-08-27 10:24:44 +08:00 查一查路由网关的日志不就好了 |
 | 5 VRYANG 2020-08-27 10:24:48 +08:00 网络出口是不是也有记录?或者 IP 的运营商(成本是不是有点大) |
 | 6 zhoumouren OP |
 | 7 kop1989 2020-08-27 10:27:53 +08:00 先回答问题:B 将 IP 给 A 是一定有痕迹的。 然后是吐槽时间: 1 、A 和 B 均可以操作服务器,那么 A 和 B 竟然不分用户? 2 、操作日志 IP 可被 A 和 B 的用户修改,这就导致日志就没有证据效力。(你往自己存折上手写一个 100 亿,银行会认么?) 3 、B 其实要承担次要责任。因为 B 没有实质性退出管理(还拥有登录的能力) |
 | 8 cmdOptionKana 2020-08-27 10:28:01 +08:00 由于服务器完全受 A 的控制,服务器内的一切内容皆可由 A 修改,因此不属于客观证据,单凭 A 的单方面说法不可以证明任何事情,B 不需要自证清白。 另外,就算 A 没有问 B 要网络 IP,IP 这个东西本身也不具备私密性,也就是说 B 没有义务也没有可能保护自己的 IP 不被人获知,因此这个 IP 也不能成为证据。 |
 | 9 pushback 2020-08-27 10:28:12 +08:00 3 经典黑客:“在吗?验证码发一下” |
| 10 zhoumouren OP @sharkli 怎么说 |
 | 11 eason1874 2020-08-27 10:28:55 +08:00 1. B 报警。 2. 警察找服务器的服务商提取网关日志。 3. A 被抓获。 |
| 12 zhoumouren OP @kop1989 关键是 B 和 A 已经终止合作,A 自己却迟迟不改的,但是密码也不应该只有 A/B 两个人知道 |
| 13 eason1874 2020-08-27 10:31:57 +08:00 不用想其他有的没的了,最终结果一定是 A 被抓。 《网络安全法》第二十一条第三款规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月” |
| 14 zhoumouren div class="badge op">OP 2020-08-27 10:32:02 +08:00 |
| 15 kop1989 2020-08-27 10:32:10 +08:00 @zhoumouren #12 如果是商业上的终止的话,B 就没有责任。反之,如果是同事之间的默认行为,其实 B 是有次要责任的。 |
| 16 MakeItGreat 2020-08-27 10:34:16 +08:00 via Android 曾经 v 站有个人经常在别人求助的帖子说:让我 ssh 上去看看 后来被封了 虚假的黑客:在?把 ssh 密钥发一下 真正的黑客:扛走服务器 |
| 17 cmdOptionKana 2020-08-27 10:34:54 +08:00 还有一点,一般还需要作案动机,A 需要说出 B 为什么要这样做,缺少作案动机也会影响定罪。 而如果 A 与 B 之间有纠纷、矛盾,B 就不可能轻易把 IP 发给 A 。(所以这个故事可能还需要补充更多细节才更有真实性) |
 | 18 coderluan 2020-08-27 10:35:17 +08:00 1 楼主改成"A 偷偷查了 B 的 IP"不行吧, A 太惨了, 让你说的和傻逼一样, 还想嫁祸人...... |
 | 19 touno 2020-08-27 10:39:39 +08:00 终归梦一场~ |
| 20 zhoumouren OP @kop1989 嗯,是的 @MakeItGreat “在吗?验证码发一下” @cmdOptionKana A 虽然和 B 终止了合作,但是私底下还是朋友关系,但是 A 又对 B 的退出抱有一点的不爽,导致自己很累,于是就想此办法小报复一下,具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP @coderluan 具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP |
 | 21 nxforce 2020-08-27 10:41:59 +08:00 网警一对比,在 B 提供 IP 地址之前,A 就有登录痕迹,A 逃不了。 |
 | 22 across 2020-08-27 10:42:32 +08:00 1 虽然我偷过了这家,可走前都墙壁上写是 B 干的,你们抓我 A 干什么? |
| 23 zhoumouren OP @joyhub2140 网警也可以看到此服务器的 IP 登录记录嘛 |
| 24 zhoumouren OP @across 貌似有点相似 |
 | 25 xomix 2020-08-27 10:43:16 +08:00 1 运营商有每个节点的 3 个月流量数据,全数据,可以还原很多信息,所以不要做梦以为改个服务器日志就能瞒天过海了,你这样还不如给 b 的电脑下木马好点呢。 |
| 26 zhoumouren OP @xomix 下点木马,不如把 B 的电脑拿过来操作 |
| 27 cmdOptionKana 2020-08-27 10:52:45 +08:00 不过现实中还真的有可能发生类似的荒诞事情,比如前几天那个肘击别人胸部后被踢了的人,他当时还能走路,几天后却可以说自己当时被踢到粉碎性骨折,警方还真的把见义勇为者给刑事拘留了。 因此,如果 A 有能力走一下人际关系,也许这个被骂很蠢的 A 还真能陷害 B 。 |
| 28 cmdOptionKana 2020-08-27 10:57:08 +08:00 zhoumouren 你补充说明,只说了 A 对 B 不满,但没有说明 B 有什么不满,B 还是没有作案动机啊。 |
 | 29 goodryb 2020-08-27 10:59:12 +08:00 1 我怎么感觉楼主是在钓鱼啊,难道楼主就是那个 A 否则 A 和 B 之间怎么会有一个 C 对事情经过这么清楚 楼主你还是收手吧 |
 | 31 DJQTDJ 2020-08-27 11:03:22 +08:00 >4. 然后 A 向 B 要了当前网络的 IP ( B 不知道 A 要拿来干嘛) >5. 然后 A 将其服务器内的操作日志 IP 全部改为了 B 的 IP,并想让 B 背锅 >6. 请问 B 用什么方法证明自己的清白 linux history |
| 32 zhoumouren OP |
 | 33 jimmy2010 2020-08-27 11:11:13 +08:00 via Android 1 你就是 A,你果然很傻 你不适合干这个,不爽就去打一架更好 |
| 34 DJQTDJ 2020-08-27 11:12:24 +08:00 |
 | 35 jtwor 2020-08-27 11:13:32 +08:00 如果 4 改为=> A 通过 B 的电脑(或远程)去操作服务器 |
| 36 zhoumouren OP |
| 37 jtwor 2020-08-27 11:26:35 +08:00 @zhoumouren 那肯定偷偷呀。。 |
 | 38 dko 2020-08-27 11:28:50 +08:00 你们公司没有堡垒机吗。。 |
 | 39 libook 2020-08-27 11:31:52 +08:00 所以有没有修改了日志的日志? 假设 A 删除了修改日志的日志,那么也应该有删除了日志的日志。 如果有相关日志,就说明日志被人动过,则不能被当做有效证据。 另外系统里很多地方都会记录日志,所以可以尝试找找别的线索,比如 Shell 的 history 、防火墙日志等等。 “具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP”那么 B 的电脑里就会有访问这个网页的历史,如果网页是部署在 A 电脑上的话就很明了了,最糟糕的情况就是部署在境外的 VPS 上。可能报警硬钢到底能有更多资源提供更多线索。 安全方面来说,这个日志管理机制是不合规的;登录系统应当有全程操作的记录(甚至录像);相关日志和记录不可篡改、不可人为删除、记录和审计日志的进程不可被干扰或终止,日志和记录保留 180 天以上。账号一人一号,且管理员三权分立,并定期审计。 |
| 40 zhoumouren OP @libook 这些都是大公司才会做的,小公司都是直接 root 上手 |
| 41 libook 2020-08-27 11:39:02 +08:00 @zhoumouren 我们之前也是这么想的,但是 2019 年网络安全法开始实施以及等保 2.0 同步生效之后,各机关会强制监督实施,多数互联网企业都能被评为三级,所以会被强制要求达到三级安全标准;北京这边各部委已经轮番查了好几遍了,不符合要求的话会责令限期整改,未在规定期限内完成整改的会有行政处罚。 如果你们还没遇到相关要求的话,可能只是还没执行到你们而已。 |
 | 42 speculatorA 2020-08-27 11:49:11 +08:00 自首吧 |
| 43 DJQTDJ 2020-08-27 11:52:52 +08:00 |
| 44 zhoumouren OP |
 | 45 zsdroid 2020-08-27 12:24:45 +08:00 闲的蛋疼 |
 | 46 IGJacklove 2020-08-27 12:55:23 +08:00 我刚开始以为你是 B,现在我怀疑你是 A... |
 | 47 flowercoder 2020-08-27 13:11:32 +08:00 没啥好自证的,只要说自己不知道就行了,你干坏事要时间要地点要方式最重要还要动机,你其实只要反问要问你的人,我的动机是啥?如果你合理的解释后他觉得你有动机,那我觉得这种这种事已经是往强加之罪或是扯皮的方向发展了。 |
 | 48 crazytree 2020-08-27 13:44:25 +08:00 你说的这个 B,是不是你自己 |
 | 49 szkoda 2020-08-27 13:45:01 +08:00 看了楼主之前发的帖子: 1.回答别人技术问题会不会被人拿来犯罪,好担心 |
| 50 szkoda 2020-08-27 13:46:48 +08:00 |
 | 51 no1xsyzy 2020-08-27 14:47:54 +08:00 @cmdOptionKana #17 想起 “主客观相统一”,应该也需要运用这条。 很难说没有承认也没有确定作案动机会结束侦查。常识上都会觉得这是栽赃。 @zhoumouren #14 只要能看出 B 没有访问…… 因为 B 业务脱离应该是不会访问的,就算同服务器有其他业务,访问了,时间也是对不上的。 @kop1989 #7 实践上如何使得自己退出管理(以密码方式登录)? |
| 52 zhoumouren OP |
 | 53 dddd1919 2020-08-27 14:54:58 +08:00 1 你说的这个 A 是不是就是你自己 |
| 54 kop1989 2020-08-27 14:57:07 +08:00 @no1xsyzy #51 如果是 lz 的情况的话,A 和 B 有商务上的终止流程,比如合同作废啊、订立新合同啊等等。 如果是相同单位的同事之间,B 就要主动和上级沟通并提示上级密码共用,让上级设置一个 B 不知道的密码即可。这样既可以保证服务器管理职责的交接完毕,也可以独善其身。 |
| 55 no1xsyzy 2020-08-27 15:11:33 +08:00 @kop1989 #54 如果 A 因为各种原因或者就是强行把密码改回去,然后闲聊跟 B 说了还是把密码改回去了,B 也作了回应(比如)。即证据上确认 B 尽管交接出去了,但实质上仍然具有访问的能力。那 B 有责任吗? |
| 56 zhoumouren OP @dddd1919 相反,更觉得是算是 B |
| 57 kop1989 2020-08-27 15:16:02 +08:00 @no1xsyzy #55 我个人认为是没有,因为这过程中有 A 的故意成分,且 B 已经与上级明确管理责任的结束并表达了取消访问权限的意愿。这就跟 A 故意把日志 ip 改为 B 的 ip 一样,属于一种铺垫栽赃的行为。 |
 | 58 xuanbg 2020-08-27 15:23:15 +08:00 假的真不了,A 的破绽太多了。。。光日志里面改成 B 的 IP 有毛用,B 完全可以申请证据无效,因为这个数据是可篡改的。云服务运营商那边的服务器或数据库的访问记录才是铁证。 |
| 59 no1xsyzy 2020-08-27 15:29:42 +08:00 @kop1989 #57 懂了,你的主张是程序。无论是外部的合同程序,还是内部的汇报程序,走过相应程序才能免于次责。的确是可操作的实践 |
 | 60 cherryas 2020-08-27 15:54:16 +08:00 1 你说的这个 A 是不是就是你自己 |
 | 61 HertzHz 2020-08-27 15:56:58 +08:00 这个我也想说,网络攻击这么多我发现根本没证据,你说你用银行漏洞把钱转走了,银行说你干的就是你干的,他们的日志是你的 IP 就是你干的,但是这日志明明是随便写的,我写谁都可以,这真的非常迷惑。即便是运营商还是服务器,他们上面的日志都是可修改的,有权限的人想把攻击者的 IP 改成谁都可以 |
 | 62 HankAviator 2020-08-27 17:09:31 +08:00 via Android 求楼主别再滥用代码块格式了,AMP 页面简直 |
 | 63 Hilalum 2020-08-27 17:10:12 +08:00 单看标题,我污了 |
 | 64 defunct9 2020-08-27 18:22:17 +08:00 @MakeItGreat 不是曾经,而是现在我也经常说这句话。 开 ssh,让我上去看看 |
 | 65 zzxCNCZ 2020-08-27 22:46:59 +08:00 B 提供了和 A 的聊天记录 |
 | 66 freelancher 2020-08-28 05:16:01 +08:00 ???? 真当警察是吃干饭的啊。出了经济损失。肯定是要报警的。 而且疑罪从无,你无法证明是 B 干的。怎么都不行。而且这些证据都可以伪造的。等于零。 查出伪造证据,A 就是进牢里捡肥皂。 做案最重要的是动机。B 没有动机。只有 A 有动机。所以 A 不是死定了。 当自己是天才的话,逻辑先理清楚吧。现代社会一般都是把漏洞堵死了。 |
 | 67 yankebupt 2020-08-28 09:43:48 +08:00 连 199X 年古董级的 windows server 都没这么低的安全级别. 密码认证方法不 rotate?终止不 revoke? 如果 B 反咬一口你的系统就宝塔面板 PHP 漏洞级别的那种,是某个不知道的 C 通过漏洞黑了你系统并制造同时嫁祸 A 和 B 的情况,A 就拿不出任何证据来反驳?智能卡没有指纹没有连张脸的照片都没有,靠南山必胜客? 下次直接加入钓鱼名单,这次算了 |
Select Language