V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhoumouren
V2EX  ›  程序员

一个这样的情节, B 如何证明自己的清白

  •  
  •   zhoumouren · 2020-08-27 10:18:44 +08:00 · 7483 次点击
    这是一个创建于 1549 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发呆中突然想到,具体情节如下:

    1. A 与 B 是以前合作关系,这天 A 准备自己演出一场戏
    2. A 先登录自己的业务服务器,将自己的某业务修改或删除,致使其不能正常运行
    3. (备注:A 与 B 都知道这台服务器的密码,但是 B 已经退出了此业务很久,A 也没有改密码)
    4. 然后 A 向 B 要了当前网络的 IP ( B 不知道 A 要拿来干嘛)
    5. 然后 A 将其服务器内的操作日志 IP 全部改为了 B 的 IP,并想让 B 背锅
    6. 请问 B 用什么方法证明自己的清白
    
    67 条回复    2020-08-28 09:43:48 +08:00
    MakeItGreat
        1
    MakeItGreat  
       2020-08-27 10:20:27 +08:00 via Android
    然后 A 向 B 要了当前网络的 IP
    这一步可以证明
    LZSZ
        2
    LZSZ  
       2020-08-27 10:21:13 +08:00
    然后 A 向 B 要了当前网络的 IP
    sharkli
        3
    sharkli  
       2020-08-27 10:22:55 +08:00   ❤️ 9
    A 是个傻子
    mokeyjay
        4
    mokeyjay  
       2020-08-27 10:24:44 +08:00
    查一查路由网关的日志不就好了
    VRYANG
        5
    VRYANG  
       2020-08-27 10:24:48 +08:00
    网络出口是不是也有记录?或者 IP 的运营商(成本是不是有点大)
    zhoumouren
        6
    zhoumouren  
    OP
       2020-08-27 10:27:27 +08:00
    @MakeItGreat
    @LZSZ 确实有这一步
    kop1989
        7
    kop1989  
       2020-08-27 10:27:53 +08:00
    先回答问题:B 将 IP 给 A 是一定有痕迹的。
    然后是吐槽时间:
    1 、A 和 B 均可以操作服务器,那么 A 和 B 竟然不分用户?
    2 、操作日志 IP 可被 A 和 B 的用户修改,这就导致日志就没有证据效力。(你往自己存折上手写一个 100 亿,银行会认么?)
    3 、B 其实要承担次要责任。因为 B 没有实质性退出管理(还拥有登录的能力)
    cmdOptionKana
        8
    cmdOptionKana  
       2020-08-27 10:28:01 +08:00
    由于服务器完全受 A 的控制,服务器内的一切内容皆可由 A 修改,因此不属于客观证据,单凭 A 的单方面说法不可以证明任何事情,B 不需要自证清白。

    另外,就算 A 没有问 B 要网络 IP,IP 这个东西本身也不具备私密性,也就是说 B 没有义务也没有可能保护自己的 IP 不被人获知,因此这个 IP 也不能成为证据。
    pushback
        9
    pushback  
       2020-08-27 10:28:12 +08:00   ❤️ 3
    经典黑客:“在吗?验证码发一下”
    zhoumouren
        10
    zhoumouren  
    OP
       2020-08-27 10:28:21 +08:00
    @sharkli 怎么说
    eason1874
        11
    eason1874  
       2020-08-27 10:28:55 +08:00
    1. B 报警。
    2. 警察找服务器的服务商提取网关日志。
    3. A 被抓获。
    zhoumouren
        12
    zhoumouren  
    OP
       2020-08-27 10:30:12 +08:00
    @kop1989 关键是 B 和 A 已经终止合作,A 自己却迟迟不改的,但是密码也不应该只有 A/B 两个人知道
    eason1874
        13
    eason1874  
       2020-08-27 10:31:57 +08:00
    不用想其他有的没的了,最终结果一定是 A 被抓。

    《网络安全法》第二十一条第三款规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”
    zhoumouren
        14
    zhoumouren  
    OP
       2020-08-27 10:32:02 +08:00
    @cmdOptionKana 有道理

    @pushback 哈哈,牛逼

    @eason1874 网关日志都会保存具体的每个细节么
    kop1989
        15
    kop1989  
       2020-08-27 10:32:10 +08:00
    @zhoumouren #12 如果是商业上的终止的话,B 就没有责任。反之,如果是同事之间的默认行为,其实 B 是有次要责任的。
    MakeItGreat
        16
    MakeItGreat  
       2020-08-27 10:34:16 +08:00 via Android
    曾经 v 站有个人经常在别人求助的帖子说:让我 ssh 上去看看
    后来被封了
    虚假的黑客:在?把 ssh 密钥发一下
    真正的黑客:扛走服务器
    cmdOptionKana
        17
    cmdOptionKana  
       2020-08-27 10:34:54 +08:00
    还有一点,一般还需要作案动机,A 需要说出 B 为什么要这样做,缺少作案动机也会影响定罪。

    而如果 A 与 B 之间有纠纷、矛盾,B 就不可能轻易把 IP 发给 A 。(所以这个故事可能还需要补充更多细节才更有真实性)
    coderluan
        18
    coderluan  
       2020-08-27 10:35:17 +08:00   ❤️ 1
    楼主改成"A 偷偷查了 B 的 IP"不行吧, A 太惨了, 让你说的和傻逼一样, 还想嫁祸人......
    touno
        19
    touno  
       2020-08-27 10:39:39 +08:00
    终归梦一场~
    zhoumouren
        20
    zhoumouren  
    OP
       2020-08-27 10:41:56 +08:00
    @kop1989 嗯,是的

    @MakeItGreat “在吗?验证码发一下”


    @cmdOptionKana A 虽然和 B 终止了合作,但是私底下还是朋友关系,但是 A 又对 B 的退出抱有一点的不爽,导致自己很累,于是就想此办法小报复一下,具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP


    @coderluan 具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP
    joyhub2140
        21
    joyhub2140  
       2020-08-27 10:41:59 +08:00
    网警一对比,在 B 提供 IP 地址之前,A 就有登录痕迹,A 逃不了。
    across
        22
    across  
       2020-08-27 10:42:32 +08:00   ❤️ 1
    虽然我偷过了这家,可走前都墙壁上写是 B 干的,你们抓我 A 干什么?
    zhoumouren
        23
    zhoumouren  
    OP
       2020-08-27 10:42:51 +08:00
    @joyhub2140 网警也可以看到此服务器的 IP 登录记录嘛
    zhoumouren
        24
    zhoumouren  
    OP
       2020-08-27 10:43:11 +08:00
    @across 貌似有点相似
    xomix
        25
    xomix  
       2020-08-27 10:43:16 +08:00   ❤️ 1
    运营商有每个节点的 3 个月流量数据,全数据,可以还原很多信息,所以不要做梦以为改个服务器日志就能瞒天过海了,你这样还不如给 b 的电脑下木马好点呢。
    zhoumouren
        26
    zhoumouren  
    OP
       2020-08-27 10:44:39 +08:00
    @xomix 下点木马,不如把 B 的电脑拿过来操作 😹
    cmdOptionKana
        27
    cmdOptionKana  
       2020-08-27 10:52:45 +08:00
    不过现实中还真的有可能发生类似的荒诞事情,比如前几天那个肘击别人胸部后被踢了的人,他当时还能走路,几天后却可以说自己当时被踢到粉碎性骨折,警方还真的把见义勇为者给刑事拘留了。

    因此,如果 A 有能力走一下人际关系,也许这个被骂很蠢的 A 还真能陷害 B 。
    cmdOptionKana
        28
    cmdOptionKana  
       2020-08-27 10:57:08 +08:00
    @zhoumouren 你补充说明,只说了 A 对 B 不满,但没有说明 B 有什么不满,B 还是没有作案动机啊。
    goodryb
        29
    goodryb  
       2020-08-27 10:59:12 +08:00   ❤️ 1
    我怎么感觉楼主是在钓鱼啊,难道楼主就是那个 A


    否则 A 和 B 之间怎么会有一个 C 对事情经过这么清楚


    楼主你还是收手吧
    Cielsky
        30
    Cielsky  
       2020-08-27 11:01:37 +08:00 via Android
    @kop1989 3 退出了怎么改密码,这也不能由 B 来啊
    DJQTDJ
        31
    DJQTDJ  
       2020-08-27 11:03:22 +08:00
    >4. 然后 A 向 B 要了当前网络的 IP ( B 不知道 A 要拿来干嘛)
    >5. 然后 A 将其服务器内的操作日志 IP 全部改为了 B 的 IP,并想让 B 背锅
    >6. 请问 B 用什么方法证明自己的清白

    linux history
    zhoumouren
        32
    zhoumouren  
    OP
       2020-08-27 11:05:39 +08:00
    @cmdOptionKana 是的


    @goodryb 绝不是钓鱼,只是突发奇想


    @Cielsky 终止合作,但是 A 没有更改相关业务的密码之类的


    @DJQTDJ history 貌似是可以清除吧
    jimmy2010
        33
    jimmy2010  
       2020-08-27 11:11:13 +08:00 via Android   ❤️ 1
    你就是 A,你果然很傻😂
    你不适合干这个,不爽就去打一架更好😘
    DJQTDJ
        34
    DJQTDJ  
       2020-08-27 11:12:24 +08:00
    @zhoumouren
    删除了也没用,它记录是从你关闭到开始的

    就算你先把功能关闭,在删除,在打开
    打开的时候就有记录了。
    无论你是怎么退出服务器你都圆不回来
    jtwor
        35
    jtwor  
       2020-08-27 11:13:32 +08:00
    如果 4 改为=>
    A 通过 B 的电脑(或远程)去操作服务器
    zhoumouren
        36
    zhoumouren  
    OP
       2020-08-27 11:24:32 +08:00
    @jimmy2010 才不是嘞

    @DJQTDJ 删除了之前的操作就不会有记录,只是记录的你最后一次

    @jtwor 那 B 岂不是看的一清二楚 哈哈哈
    jtwor
        37
    jtwor  
       2020-08-27 11:26:35 +08:00
    @zhoumouren 那肯定偷偷呀。。
    dko
        38
    dko  
       2020-08-27 11:28:50 +08:00
    你们公司没有堡垒机吗。。
    libook
        39
    libook  
       2020-08-27 11:31:52 +08:00
    所以有没有修改了日志的日志?
    假设 A 删除了修改日志的日志,那么也应该有删除了日志的日志。

    如果有相关日志,就说明日志被人动过,则不能被当做有效证据。

    另外系统里很多地方都会记录日志,所以可以尝试找找别的线索,比如 Shell 的 history 、防火墙日志等等。

    “具体询问 IP 的时候,A 搞了一个钓鱼网页,发给 B 看看其里面的内容,但是只要 B 一访问,就获取了 B 的 IP”那么 B 的电脑里就会有访问这个网页的历史,如果网页是部署在 A 电脑上的话就很明了了,最糟糕的情况就是部署在境外的 VPS 上。可能报警硬钢到底能有更多资源提供更多线索。

    安全方面来说,这个日志管理机制是不合规的;登录系统应当有全程操作的记录(甚至录像);相关日志和记录不可篡改、不可人为删除、记录和审计日志的进程不可被干扰或终止,日志和记录保留 180 天以上。账号一人一号,且管理员三权分立,并定期审计。
    zhoumouren
        40
    zhoumouren  
    OP
       2020-08-27 11:32:49 +08:00
    @libook 这些都是大公司才会做的,小公司都是直接 root 上手
    libook
        41
    libook  
       2020-08-27 11:39:02 +08:00
    @zhoumouren 我们之前也是这么想的,但是 2019 年网络安全法开始实施以及等保 2.0 同步生效之后,各机关会强制监督实施,多数互联网企业都能被评为三级,所以会被强制要求达到三级安全标准;北京这边各部委已经轮番查了好几遍了,不符合要求的话会责令限期整改,未在规定期限内完成整改的会有行政处罚。
    如果你们还没遇到相关要求的话,可能只是还没执行到你们而已。
    speculatorA
        42
    speculatorA  
       2020-08-27 11:49:11 +08:00
    自首吧
    DJQTDJ
        43
    DJQTDJ  
       2020-08-27 11:52:52 +08:00
    @zhoumouren

    对就是最后一次,最后一次是你的 ip,你圆不回来你还能懂?
    zhoumouren
        44
    zhoumouren  
    OP
       2020-08-27 11:55:49 +08:00
    @libook 了解了


    @speculatorA 0.0 只是分享这个故事,并无其他意思


    @DJQTDJ 大概懂了
    zsdroid
        45
    zsdroid  
       2020-08-27 12:24:45 +08:00
    闲的蛋疼
    IGJacklove
        46
    IGJacklove  
       2020-08-27 12:55:23 +08:00
    我刚开始以为你是 B,现在我怀疑你是 A...
    flowercoder
        47
    flowercoder  
       2020-08-27 13:11:32 +08:00
    没啥好自证的,只要说自己不知道就行了,你干坏事要时间要地点要方式最重要还要动机,你其实只要反问要问你的人,我的动机是啥?如果你合理的解释后他觉得你有动机,那我觉得这种这种事已经是往强加之罪或是扯皮的方向发展了。
    crazytree
        48
    crazytree  
       2020-08-27 13:44:25 +08:00
    你说的这个 B,是不是你自己
    szkoda
        49
    szkoda  
       2020-08-27 13:45:01 +08:00
    看了楼主之前发的帖子:
    1.回答别人技术问题会不会被人拿来犯罪,好担心
    szkoda
        50
    szkoda  
       2020-08-27 13:46:48 +08:00
    @szkoda #49 补
    2. 别人修改服务器日志,栽赃我怎么办

    这个思维有点危险了,如果你是 b 的心态,这属于被迫害妄想症了? 难道之前吃过这种教训导致这么谨慎
    no1xsyzy
        51
    no1xsyzy  
       2020-08-27 14:47:54 +08:00
    @cmdOptionKana #17 想起 “主客观相统一”,应该也需要运用这条。
    很难说没有承认也没有确定作案动机会结束侦查。常识上都会觉得这是栽赃。
    @zhoumouren #14 只要能看出 B 没有访问…… 因为 B 业务脱离应该是不会访问的,就算同服务器有其他业务,访问了,时间也是对不上的。
    @kop1989 #7 实践上如何使得自己退出管理(以密码方式登录)?
    zhoumouren
        52
    zhoumouren  
    OP
       2020-08-27 14:49:51 +08:00
    @crazytree
    @szkoda 确实有点被迫害妄想症
    dddd1919
        53
    dddd1919  
       2020-08-27 14:54:58 +08:00   ❤️ 1
    你说的这个 A 是不是就是你自己
    kop1989
        54
    kop1989  
       2020-08-27 14:57:07 +08:00
    @no1xsyzy #51 如果是 lz 的情况的话,A 和 B 有商务上的终止流程,比如合同作废啊、订立新合同啊等等。
    如果是相同单位的同事之间,B 就要主动和上级沟通并提示上级密码共用,让上级设置一个 B 不知道的密码即可。这样既可以保证服务器管理职责的交接完毕,也可以独善其身。
    no1xsyzy
        55
    no1xsyzy  
       2020-08-27 15:11:33 +08:00
    @kop1989 #54 如果 A 因为各种原因或者就是强行把密码改回去,然后闲聊跟 B 说了还是把密码改回去了,B 也作了回应(比如)。即证据上确认 B 尽管交接出去了,但实质上仍然具有访问的能力。那 B 有责任吗?
    zhoumouren
        56
    zhoumouren  
    OP
       2020-08-27 15:11:46 +08:00
    @dddd1919 相反,更觉得是算是 B
    kop1989
        57
    kop1989  
       2020-08-27 15:16:02 +08:00
    @no1xsyzy #55 我个人认为是没有,因为这过程中有 A 的故意成分,且 B 已经与上级明确管理责任的结束并表达了取消访问权限的意愿。这就跟 A 故意把日志 ip 改为 B 的 ip 一样,属于一种铺垫栽赃的行为。
    xuanbg
        58
    xuanbg  
       2020-08-27 15:23:15 +08:00
    假的真不了,A 的破绽太多了。。。光日志里面改成 B 的 IP 有毛用,B 完全可以申请证据无效,因为这个数据是可篡改的。云服务运营商那边的服务器或数据库的访问记录才是铁证。
    no1xsyzy
        59
    no1xsyzy  
       2020-08-27 15:29:42 +08:00
    @kop1989 #57 懂了,你的主张是程序。无论是外部的合同程序,还是内部的汇报程序,走过相应程序才能免于次责。的确是可操作的实践
    cherryas
        60
    cherryas  
       2020-08-27 15:54:16 +08:00   ❤️ 1
    你说的这个 A 是不是就是你自己
    HertzHz
        61
    HertzHz  
       2020-08-27 15:56:58 +08:00
    这个我也想说,网络攻击这么多我发现根本没证据,你说你用银行漏洞把钱转走了,银行说你干的就是你干的,他们的日志是你的 IP 就是你干的,但是这日志明明是随便写的,我写谁都可以,这真的非常迷惑。即便是运营商还是服务器,他们上面的日志都是可修改的,有权限的人想把攻击者的 IP 改成谁都可以
    HankAviator
        62
    HankAviator  
       2020-08-27 17:09:31 +08:00 via Android
    求楼主别再滥用代码块格式了,AMP 页面简直😡
    Hilalum
        63
    Hilalum  
       2020-08-27 17:10:12 +08:00
    单看标题,我污了
    defunct9
        64
    defunct9  
       2020-08-27 18:22:17 +08:00
    @MakeItGreat 不是曾经,而是现在我也经常说这句话。
    开 ssh,让我上去看看
    zzxCNCZ
        65
    zzxCNCZ  
       2020-08-27 22:46:59 +08:00
    B 提供了和 A 的聊天记录
    freelancher
        66
    freelancher  
       2020-08-28 05:16:01 +08:00
    ????
    真当警察是吃干饭的啊。出了经济损失。肯定是要报警的。

    而且疑罪从无,你无法证明是 B 干的。怎么都不行。而且这些证据都可以伪造的。等于零。

    查出伪造证据,A 就是进牢里捡肥皂。

    做案最重要的是动机。B 没有动机。只有 A 有动机。所以 A 不是死定了。

    当自己是天才的话,逻辑先理清楚吧。现代社会一般都是把漏洞堵死了。
    yankebupt
        67
    yankebupt  
       2020-08-28 09:43:48 +08:00
    连 199X 年古董级的 windows server 都没这么低的安全级别.
    密码认证方法不 rotate?终止不 revoke?
    如果 B 反咬一口你的系统就宝塔面板 PHP 漏洞级别的那种,是某个不知道的 C 通过漏洞黑了你系统并制造同时嫁祸 A 和 B 的情况,A 就拿不出任何证据来反驳?智能卡没有指纹没有连张脸的照片都没有,靠南山必胜客?

    下次直接加入钓鱼名单,这次算了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1590 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:03 · PVG 01:03 · LAX 09:03 · JFK 12:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.