【续廿一】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿一)
发信站: 武汉白云黄鹤站 (2003年06月23日22:14:57 星期一), 站内信件
虽然是bf站长转载到admin的信件,但是我还是逐句进行了意见回复,并
同时转载在智囊团(包括原文),这样ysg也能看到,作出相应的解释(如果
有的话)
发信人: quickmouse (碰猫死翘翘), 信区: ThinkTank
标 题: Re: 我的几句话!(转载)
发信站: 武汉白云黄鹤站 (2001年07月19日21:59:43 星期四), 站内信件
【 以下文字转载自 admin 讨论区 】
【 原文由 quickmouse 所发表 】
【 在 bf (月亮 ☆ 对酒当歌我只愿开心到老) 的大作中提到: 】
: 【 以下文字转载自 bf 的信箱 】
: 来 源: 211.69.196.89
: 首先,发生了这样的事情,作为一个网友,我要像站务组道歉!
: 我认识到了自己的错误,但是我还是想说几句:
: 1。是我出于好奇多次像zzy要密码,他碍于情面告诉我的。
: 2。昨天和qm聊天,该说的我都说了,除了ysg那个细节!这里我要像qm和大家道歉!
: 我想我之所以不说的原因,大家都很清楚,我理解为“这是男生之间游戏的规则”
: 也许我的想法是错的,但是请不要评论这一点,这是我个人的想法。由此而带来的大家
: 对我的不信任,我很伤心。
: 我并没有用zzy的id登陆过,因为我知道这不是我该做的,我对站务也不感兴趣!更谈不
: 上泄漏任何站务秘密!
: 3。我没有将密码透露给任何人。shaoxb是自己破解的zzy保存的密码。我得知这件事情
: ,和shaoxb发了脾气!
: 4。shaoxb非常明确的告诉我,他不知道zzy的登陆密码。对于qm说得在18号凌晨4:00有
: 人用zzy的帐号登陆,决不是shaoxb。请站务调查
: 他当时以为站长登陆不需密码,所以试了zzy,sysop,bf和hustop的密码。他保证没有
: 向任何人透露登陆方式和密码。我已经督促他将ssh删除!
: 如果,真是有人盗用zzy密码登陆,我愿意协组站务的一切调查!
这个还需要调查,不过从记录来看,没有人去测试HUSTOP的密码。
至于说不是他登陆的zzy的帐号,我还会继续查证。
: 5。听zzy说qm对其人格表示怀疑,我非常愤怒!虽然我可以理解qm以及其他站务的心情
: 。站长密码泄漏的确是一件非常严重的事情。但是请不要随意怀疑一个人的人格,
请不要道听途说,最好的办法是眼见为实。我只是说根据我们掌握的信息,
zzy以自己的人格来保证除了他,ysg, lworm以外没有人知道他的id密码
这个保证太轻率了。
: 这会给个人带来莫大的伤害!另外,ysg为什么会主动承认告诉过我登陆方式,我想qm心
: 里是有数的,我一点你我心之肚明!(我表示最大的怀疑!!!)
: 在此我还是要用人格保证,我说的都是事实!
作为曾经是校学生会的主席。我希望说话的时候不要随意的撒谎,尤其是在
调查系统相关的严重问题的时候。
: 6。对于这件事我的态度:
: (1)在这件事情上,我们是错了,为此我心甘情愿接受站务的一切处罚!
: (2)我自知站长密码泄漏是一件严重的事情,所以愿意配合站务调查,并理解站务的心
: 情。所以虽然我认为有些地方并不稳妥,甚至感到反感。我还是愿意积极配合。
: (3)zzy和ysg是以我的人情而违反了制度,这里我先像他们道歉。另外我深知站务在处
: 理公事的时候都尽量排除人情,但是不可否认ysg和zzy曾为白云作出过很大的贡献,希
: 望站务酌情考虑!
: (4)虽然我在白云只是一个小小的id,但是也是有感情的。请站务组在处理问题的时候
: 不要因为这个id的渺小而忽视了这一点。
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
※ 来源:·武汉白云黄鹤站 bbs.whnet.edu.cn·[FROM: localhost]
【续廿二】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿二)
发信站: 武汉白云黄鹤站 (2003年06月24日21:01:22 星期二), 站内信件
此外,7月19日下午,针对lworm已经删除其信箱当中ysg转寄给他的
关于“ssh使用步骤”的文章,我从系统备份文件当中恢复了lworm和ysg
两人的信箱内容并放置于两个id当中,供站务组查阅,同时向所有站务组
站长发出群体信件:
寄信人: quickmouse (碰猫死翘翘)
标 题: [群体信件] 大家自己去看吧
发信站: 武汉白云黄鹤站 (2001年07月19日17:06:13 星期四)
来 源: localhost
由于lworm已经删除了他自己信箱里面的ssh使用备份,我从2周以前的
信箱数据备份中恢复了lworm的信件和ysg的信件。分别放在IIC和PIC
两个id的信箱里面。大家自己改密码上去看吧。
查阅范围仅限于6月底lworm和ysg之间的通信。请勿翻阅其他的内容。
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
※ 来源:·武汉白云黄鹤站 bbs.whnet.edu.cn·[FROM: localhost]
同时,7月19日傍晚,站务组所有在华中科技大学主校区的站长在
校小吃城碰头晚餐(AA制 :P),并协商关于密码泄漏事件的态度问题,
以求统一意见,统一处理口径。
【续廿三】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿三)
发信站: 武汉白云黄鹤站 (2003年06月24日21:14:31 星期二), 站内信件
19日晚,我和zzy在聊天室交换了意见,并希望弄清楚shaoxb如何
能取得进入系统的口令的途径。站务组多位站长旁听了谈话。
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 录音结果(转载)
发信站: 武汉白云黄鹤站 (2001年07月19日20:41:53 星期四), 站内信件
【 以下文字转载自 quickmouse 的信箱 】
本段由 quickmouse所录下,时间: 2001年07月19日19:54:10 星期四
★ 这房间被 mouse 设定为锁住的形式 ★
★ 这房间被 mouse 设定为机密的形式 ★
zzy: hi
mouse: hi
zzy: 对于整个时间我深表前一
mouse: 我现在需要评估这次泄密事件造成的影响有多大
zzy: 现在估计除了lworm,还有那个什么shaoxb外
zzy: 应该没有其他人
mouse: lworm知道密码的途径我已经知道了
zzy: 这件事情发生在我离任第2天,真是....
mouse: 但是shaoxb是怎么知道的需要了解
mouse: 密码泄漏绝对不是在这两天才发生的
zzy: shaoxb我也不知道是真么知道的
zzy: 密码告诉lworm是在6月底
zzy: 就在力学风办底第二天
zzy: 以前ysg知道我的密码
mouse: 也就是说从6月底开始,就可能有其他人知道
mouse: 就会有其他人用你的id登陆
聊天代号 使用者代号 │ 聊天代号 使用者代号 │ 聊天代号 使用者代号
mouse *quickmouse │ zzy zzy │Cbf bf
mouse: 但是有一个问题是
zzy: 什么叫很多人?我
mouse: 你在告诉lworm你的密码的时候,他有没有可能就知道ssh登陆方式
mouse: 和登陆密码?
zzy: 其实我现在还在怀疑zzy那晚没有登陆成功
mouse: 这一点你不用怀疑
zzy: 因为我刚打电话给shaohb,他说没有成功
mouse: 我有足够的证据证明其登陆成功
mouse: 而且不止一次登陆成功
mouse: 既然shaoxb对你说他没有登陆成功
zzy: 能不能告诉我具体的证据,算我求你
mouse: 那么我只能说我又再多知道一个人说谎而已
mouse: zzy登陆记录
mouse: y登陆记录
mouse: 2001年07月18日04:10:21 星期三 AXXED zzy Stay: 0 (等待中…
mouse: 2001年07月18日04:10:21 星期三 KICK zzy 等待中……
mouse: 2001年07月18日04:10:21 星期三 ENTER zzy ?@HUST-N1(33) 5127
mouse: ?8日04:10:21 星期三 ENTER zzy ?@HUST-N1(33) 5127
mouse: 2001年07月18日04:11:28 星期三 ENTER zzy ?@localhost 5154
zzy: 但是我一直想知道到底问题处在那
mouse: 以上仅仅是登陆记录的一个部分而已
mouse: 登陆ip不仅仅是N1(33),还有localhost
mouse: 也就是说登陆者掌握着两个密码
zzy: kick zzy当时是你再现?
zzy: 我的两个密码一样
mouse: 我没有那么勤奋
mouse: 自己kick自己也是一样的记录
zzy: 哦?
mouse: 无论两个密码是否一样
zzy: 当时有没有站长在线?
mouse: 至少可以说明使用者对站长的登陆方式相当清楚
mouse: 当时应该没有站长在线
zzy: shaoxb确实用了localhost
zzy: 这一点已经很明确
mouse: 是的,这个他是怎么知道的,我想把这个泄密途径搞清楚
zzy: 估计是在我当时上机底地方,我的估计
mouse: 你这个估计能说明什么?
zzy: 对于后面底我就不清楚了。由此引起底后果理应有我来承担
mouse: 问题要搞清楚才说承担责任
mouse: 如果说不是shaoxb使用的zzy帐号,那情况更加严重
zzy: 我现在确实很奇怪,shaoxb一再保证他没上
mouse: 这个保证不可信
zzy: 你能不能看看记录。登陆成功底那是是从那登陆上的
zzy: 就是kick zzy之前 zzy的登陆
mouse: 刚才
zzy: 什么刚才?
mouse: 敲错了
mouse: 在那个登陆之前的18日的记录没有
zzy: 能不能把那晚的记录发给我看一下
zzy: 我也希望时间早点解决
mouse: 我刚才都贴出来了。你觉得有什么不对的么?或者有什么
mouse: 有疑问的地方
zzy: 就是那天晚上11:00以后的
mouse: 我觉得我来解释这个系统记录比你看要好
zzy: 我11:00从D11(51)下机的
zzy: 如果你觉得不方便就算了
mouse: 在17日晚11点以后到18日4点localhost & N1(33)登陆
mouse: 之间,没有zzy帐号登陆记录
zzy: 这样无法判断是从33还是loc登陆的
mouse: 用ssh登陆的是从33来的连接,这个也有记录
zzy: 不,我的意思是他登陆成功的那次是直接从33
zzy: 还是loc
mouse: 都有
mouse: 而且,当时没有任何站长在线
zzy: 都有?
mouse: 也没有任何用户通过穿梭到达localhost
mouse: 是都有
zzy: 安全讨论区有没有zzy的记录,比如删文章?
mouse: 没有其他的系统安全记录操作
聊天代号 使用者代号 │ 聊天代号 使用者代号 │ 聊天代号 使用者代号
mouse *quickmouse │ zzy zzy │Cbf bf
zzy: 这样说来,没法查了
mouse: 怎么没法查?
mouse: 难道非要他删除了什么文章才能查出来?
zzy: 我说我没法查到是谁用zzy登陆了
mouse: 如果不是当时在使用shaoxb帐号的用户
mouse: 那就更加严重了
zzy: 这样把,你们继续调查,我一定配合
zzy: 我一般晚上10:00以后会上一会
zzy: 现在上网计不方便
mouse: shaoxb他本人怎么说?
zzy: 有什么问题发我信箱,或者呼我126-5119676
zzy: 他说没用过zzy登陆
mouse: 真的?
zzy: 续不需要邀请shaoxb进聊天室?
zzy: 你说我不配合?
mouse: 不是这个意思
zzy: 不过现在不管怎么说,你都不会相信我,也罢!
mouse: 让他进来吧
mouse: 我只是觉得shaoxb这个人说话不可靠
zzy: ft!他下站了
聊天代号 使用者代号 │ 聊天代号 使用者代号 │ 聊天代号 使用者代号
mouse *quickmouse │ zzy zzy │Cbf bf
CAsuka Asuka │
zzy: 在吗?
mouse: 在
zzy: 我先说一下我底处理意见
mouse: 学生会的估计有多少知道
mouse: 你的密码?
mouse: 你估计一下。
mouse: 从现在除了你,lworm以外,肯定还有别人知道
zzy: 最多lworm和shaoxb,其实我也一直怀疑是他上的
zzy: shaoxb
mouse: 怀疑要有一定的理由
zzy: 是啊,现在确实没有理由啊
zzy: 但是不会有其他底人知道密码
mouse: 你无法保证密码不扩散
mouse: 现在最好估计一个最坏的情况
zzy: 最坏也就shaoxb知道,外加那个登陆底。我估计他们是一个
mouse: 你对处理有什么意见
zzy: 如果觉得很严重底话,就咔咔,但是之前发各信给我
zzy: 至少把所有特苏权限去掉
mouse: 这个我们会讨论处理,同时会参考智囊团成员的意见
mouse: lworm在知道你的密码之后
mouse: 又向ysg索要ssh登陆的密码和方式
zzy: 如果再sysop发公告底话,就说zzy泄漏密码,不要牵扯到ysg
mouse: 昨天也没有向我们说明情况
mouse: 这个可能也会处理。
zzy: 昨天什么时候没说明情况?
mouse: ysg的问题本来就在这里面
mouse: 是什么就是什么
mouse: 该说的还是要说
zzy: 昨天什么时候没说明情况?
mouse: lworm昨天和我说他没有要过ssh的登陆方式和密码
mouse: 就此,我也对lworm的话持怀疑的态度
zzy: 好吧,我该说底都说了
zzy: 至于其他底,不是我能干涉底
mouse: 好的,其他的我们会继续调查处理的。
mouse: 但是
mouse: shaoxb至今没有给我任何的答复
mouse: 包括我向他询问的如何取得你的帐号密码
mouse: 以及ssh的帐号密码
mouse: 好像他已经上站多次了吧
zzy: 好吧,这个你只能问她,我与他之前也根本不苏希
mouse: 好
mouse: 那就先这样了
zzy: 88
mouse: bye
★ [zzy] 慢慢离开了 ★
聊天代号 使用者代号 │ 聊天代号 使用者代号 │ 聊天代号 使用者代号
mouse *quickmouse │Cbf bf │CAsuka Asuka
mouse: 各位有什么意见?
聊天代号 使用者代号 │ 聊天代号 使用者代号 │ 聊天代号 使用者代号
mouse *quickmouse │Cbf bf │CAsuka Asuka
mouse: 没话说了就回去说
结束时间:2001年07月19日20:41:43 星期四
【续廿四】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿四)
发信站: 武汉白云黄鹤站 (2003年06月24日21:24:13 星期二), 站内信件
当晚23时左右,lworm找到我,再谈起了关于此事的一些问题,首先是
两人的聊天记录:
与 lworm (……) 的情话绵绵, 日期: 07/19/01 23:42:30 Thu
颜色分别代表: quickmouse lworm
--> hi
-=> hi
--> 我一会儿把shaoxb叫来,你可以问问她他
-=> ok
--> zzy告诉我请你不要把我的真是身份说出来,我没有其他要求
-=> 哦,好的
--> 另外这本来就不惯学生会什么事情,也请不要牵扯到学生会
-=> 好的
--> 至于站务组怎么处理,我没意见
--> 但是我会尽力提供线索
--> shaoxb确信zzy不是他登陆的
--> ysg和zzy也是我逼着要密码。才说得
--> 当然他么他们告诉我也不对
--> 我想着这一点你可以理解
-=> 恩
--> 就算是在智慧壤团的小范围内,我也不希望提到我是谁,或责我以前干过什么,因
为这
与这
?-> 事没?关系,
--> 我理解你和站务的心情,所以我不会 鳗鱼埋怨站务
--> 但是也希望你梦你们在处理的时候能考虑到我们的感情
--> 另外,xinhua这几天考试,学人水很大,我请求等1,2田天他考完了,在处理我的
事情
能够
-=> 这个我们会考虑的?
--> 好了,你等一会儿,我给shaoxb打电话,先退出来
-=> 待会希望你们两个都在
--> 好的
--> 直接到聊天室吧,
-=> 好的。
--> 也可以叫其他站长来
--> 我希望大家都能站务组都能了解
-=> 这件事情上面,我觉得现在的一些情况与你们所说的不符
--> 等shaoxb来了,再说吧
--> 有什么问题,你可以提,我会回答的
-=> 好的,待会去聊天室好么?
--> ok
--> 哪个房间?
--> ok
-=> 等我进去了call你们,
可惜当时网络条件不佳,在聊天室内的聊天记录因为我断线而丢失,之后lworm
给我寄来信件再次阐述他的要求:
寄信人: lworm (……)
标 题: 最后想说的
发信站: 武汉白云黄鹤站 (2001年07月20日02:22:28 星期五)
来 源: 211.69.196.89
你吊线了,我想还是把我想说的几句话说完吧。
我们犯了错误,应该受到惩罚。对于我上次像你提供的假信息我深深的道歉。
我对你的敬业和认真很佩服!
我也能够理解你的心情和立场。正是基于这种理解和对自己错误的认识,我们才会一而
再再而三的主动和你联系,想把问题弄清楚。
我们最后和你说的都是事实,我确实无法解释你的问题,我们也觉得很奇怪!
但是,我不得不说得是,真的没想到,我的猜测是真的。
任何人没有司法机关的授权是不可侵犯个人隐私的。我们换个角度,如果是我看了你的
信,不管什么原因,你会做何感想?
好像你这么做是犯法国家法律的,更不谈你对我感情上的伤害!
但是,我可以原谅你。因为我能够了解你的心情,你的立场和你的责任!
我也无意要像谁公布这些。没有任何意义。我说了,我接受站务的任何处罚。只是也希
望你也能考虑到我们的感情。毕竟在每个id的背后,
都是一个活生生的人。
还是希望你能接受我的两个请求:
1,不要在任何场合透露我们的真是身份,这也是白云的一个宗旨;
2,这件事不关学生会任何事情,不要扯到上面。
也请你相信我们最后给你提供的信息,希望你能查清楚这件事!
再次像你表示歉意!
bow
--
※ 来源:·武汉白云黄鹤站 bbs.whnet.edu.cn·[FROM: 211.69.196.89]
【续廿五】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿五)
发信站: 武汉白云黄鹤站 (2003年06月24日21:36:49 星期二), 站内信件
19日晚再次于lworm,shaoxb谈过之后,由于shaoxb仍然坚持自己未使用
zzy帐号登陆,我感到调查工作已经无法再进行下去,遂备份了重要的证据,除
以前提过的之外,还有zzy帐号在18日临晨访问讨论区的记录:
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 证据5
发信站: 武汉白云黄鹤站 (2001年07月19日19:46:48 星期四), 站内信件
2001年07月18日04:14:19 USE HGStudent Stay: 14 (zzy)
2001年07月18日04:14:50 USE ThinkTank Stay: 7 (zzy)
2001年07月18日04:15:04 USE bbslists Stay: 13 (zzy)
2001年07月18日04:15:15 USE bbslists Stay: 7 (zzy)
2001年07月18日04:15:22 USE BoardManager Stay: 2 (zzy)
2001年07月18日04:21:28 USE ThinkTank Stay: 15 (zzy)
2001年07月18日04:24:50 USE HGStudent Stay: 4 (zzy)
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
※ 来源:·武汉白云黄鹤站 bbs.whnet.edu.cn·[FROM: localhost]
shaoxb帐号在18日临晨的登陆记录:
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 相关记录
发信站: 武汉白云黄鹤站 (2001年07月20日00:15:40 星期五), 站内信件
2001年07月18日04:00:56 星期三 ENTER shaoxb ?@HUST-N1(33) 4956
2001年07月18日04:03:17 星期三 AXXED shaoxb Stay: 2 (心情)
2001年07月18日04:23:24 星期三 ENTER shaoxb ?@localhost 5269
2001年07月18日04:27:05 星期三 EXIT shaoxb Stay: 3 (心情)
2001年07月18日04:27:17 星期三 ENTER shaoxb ?@localhost 5304
2001年07月18日04:30:27 星期三 ENTER shaoxb ?@localhost 5337
2001年07月18日04:36:29 星期三 AXXED shaoxb Stay: 6 (心情)
2001年07月18日04:36:56 星期三 AXXED shaoxb Stay: 9 (心情)
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
※ 来源:·武汉白云黄鹤站 bbs.whnet.edu.cn·[FROM: localhost]
把这些工作完成,我躺在床上,整理着自己的思路。历经这个事件,
我们需要了解的几个问题,已经多少有了眉目:
1、究竟是谁使用了zzy帐号? ——shaoxb
2、zzy帐号究竟是被他用还是被盗用? ——不详
3、zzy帐号的密码以及ssh的密码有谁知道? ——shaoxb lworm
4、zzy帐号、ssh登陆密码泄密的途径?——zzy ysg
5、shaoxb如何得到的密码? ——不详
6、shaoxb是否唯一可以确定是当晚使用zzy帐号的人?——不详
思考着这些问题,想到从表明证据到证词分析已经无法进展下去,
剩下的工作就在对证据的全面分析当中寻找答案了。于是决定第二天
来详细分析这些问题。
【续廿六】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿六)
发信站: 武汉白云黄鹤站 (2003年06月25日00:15:36 星期三), 站内信件
7月20日一早,我就着手开始仔细对积攒下来的证据进行分析,试图
找出18日临晨登陆的shaoxb帐号和zzy帐号是同一用户所为,并写出《密码
泄露调查报告》供站务组以及智囊团参考:
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 密码泄露调查报告(1)
发信站: 武汉白云黄鹤站 (2001年07月20日10:17:08 星期五), 站内信件
18日早,接到bf站长的报告,发现有人测试bf帐号和SYSOP帐号的密码各一
次,并且时间是临晨4点左右。因为能够对站长帐号进行密码测试的只能是站务
一级的用户,而站务之间不会互相测试密码。由此,站务组开始着手调查。
首先提取的系统记录是密码测试记录,如下:
zzy 2001年07月18日04:08:26 星期三 localhost
SYSOP 2001年07月18日04:19:24 星期三 localhost
zzy 2001年07月18日04:23:52 星期三 HUST-N1(33)
bf 2001年07月18日04:37:09 星期三 localhost
从这个记录上面可以看出:用户总共测试了前站长zzy,现任站长bf以及SYSOP
的密码。并且,这些测试都不是在一个telnet连接上作的测试。因为白云的系统在
用户登陆阶段的时限是10mins,唯一一个间隔在10mins之间的是SYSOP和zzy的密码
测试。但是他们来自不同的地点,可见不是相同的一个telnet连接。上面的记录还
表明,测试者可能是同一个人。如果那时没有拥有穿梭权限的用户使用本地穿梭,
那么表明localhost登陆者使用的ssh加密登陆方式,而ssh加密登陆方式的密码仅仅
有站务人员知道,包括最近离任的zzy和ysg。
接着提取的bbsnet的记录,18日最早使用bbsnet的用户是:
andrews Jul 18 06:53:43 华南木棉站 (202.112.17.137)
这就表明测试者使用ssh方式登陆本站。
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 密码泄露调查报告(2)
发信站: 武汉白云黄鹤站 (2001年07月20日10:36:52 星期五), 站内信件
紧接着,提取的系统记录是ssh登陆的记录,如下:
bbs pts/4 211.69.197.33 Wed Jul 18 04:37 - 04:37 (00:00)
bbs pts/5 211.69.197.33 Wed Jul 18 04:36 - 04:37 (00:00)
bbs pts/4 211.69.197.33 Wed Jul 18 04:27 - 04:36 (00:09)
bbs pts/4 211.69.197.33 Wed Jul 18 04:23 - 04:27 (00:03)
bbs pts/4 211.69.197.33 Wed Jul 18 04:19 - 04:23 (00:04)
bbs pts/4 211.69.197.33 Wed Jul 18 04:11 - 04:19 (00:07)
bbs pts/4 211.69.197.33 Wed Jul 18 04:08 - 04:10 (00:02)
从以上的记录可以看出,使用ssh登陆方式登陆的用户来自华中科技大学主校区
南一舍,时间是从18日临晨4:08到4:37,基本上没有间隙,并且,也没有出现连接
重叠的情况。遂提取那一段时间登陆用户的记录,发现从localhost登陆的用户记录
如下:
2001年07月18日04:09:43 星期三 ENTER zzy ?@localhost 5101
2001年07月18日04:11:28 星期三 ENTER zzy ?@localhost 5154
2001年07月18日04:12:03 星期三 ENTER zzy ?@localhost 5163
2001年07月18日04:19:54 星期三 ENTER zzy ?@localhost 5237
2001年07月18日04:23:24 星期三 ENTER shaoxb ?@localhost 5269
2001年07月18日04:24:37 星期三 ENTER zzy ?@localhost 5276
2001年07月18日04:27:17 星期三 ENTER shaoxb ?@localhost 5304
2001年07月18日04:30:27 星期三 ENTER shaoxb ?@localhost 5337
以上都是从localhost成功登陆本站的用户,由于zzy的密码测试只进行了一次(
虽然有两个记录,但是不是连续测试),所以不存在zzy的密码被穷举攻破的可能。
结论是zzy当时确实从N1舍连接本站,或者是zzy的帐号被别人使用。印象中,zzy没有
shaoxb这样的其他id,而且zzy也不可能在那个时间还登陆本站(因为从zzy担任站长
的时间内,他从来没有工作到这么晚)。初步判定zzy的帐号被别人使用,是非法盗用
还是借给别人使用,还需要调查。但是可以肯定的是,使用者知道站务人员登陆本站
所需要的ssh密码和zzy帐号的密码。于是,我们决定暂停zzy帐号和shaoxb帐号的基本
权限。并在站长讨论区作了紧急事件通报,我们估计在zzy担任站长期间,就已经发生
了其帐号被他人使用的情况。
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
【续廿七】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿七)
发信站: 武汉白云黄鹤站 (2003年06月25日00:18:16 星期三), 站内信件
在列举了基础证据之后,调查报告着重分析了如何断定当时登陆的
帐号zzy和shaoxb是同一用户所为:
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 密码泄露调查报告(3)
发信站: 武汉白云黄鹤站 (2001年07月20日10:51:38 星期五), 站内信件
虽然,zzy和shaoxb都在同一个时间段从localhost登陆,但是还不能确定
这两个帐号是否同一人使用。于是提取zzy和shaoxb登陆、离站的记录:
zzy在18日临晨登陆离站的记录为:
2001年07月18日04:09:43 星期三 ENTER zzy ?@localhost 5101
2001年07月18日04:10:21 星期三 AXXED zzy Stay: 0 (等待中……)
2001年07月18日04:10:21 星期三 KICK zzy 等待中……
2001年07月18日04:10:21 星期三 ENTER zzy ?@HUST-N1(33) 5127
2001年07月18日04:11:11 星期三 EXIT zzy Stay: 0 (等待中……)
2001年07月18日04:11:28 星期三 ENTER zzy ?@localhost 5154
2001年07月18日04:12:03 星期三 ENTER zzy ?@localhost 5163
2001年07月18日04:18:50 星期三 EXIT zzy Stay: 6 (等待中……)
2001年07月18日04:19:00 星期三 EXIT zzy Stay: 7 (等待中……)
2001年07月18日04:19:54 星期三 ENTER zzy ?@localhost 5237
2001年07月18日04:23:15 星期三 EXIT zzy Stay: 3 (等待中……)
2001年07月18日04:23:59 星期三 ENTER zzy ?@HUST-N1(33) 5270
2001年07月18日04:24:14 星期三 AXXED zzy Stay: 0 (等待中……)
2001年07月18日04:24:37 星期三 ENTER zzy ?@localhost 5276
2001年07月18日04:26:39 星期三 AXXED zzy Stay: 2 (等待中……)
shaoxb在18日临晨登陆离站的记录为:
2001年07月18日04:00:56 星期三 ENTER shaoxb ?@HUST-N1(33) 4956
2001年07月18日04:03:17 星期三 AXXED shaoxb Stay: 2 (心情)
2001年07月18日04:23:24 星期三 ENTER shaoxb ?@localhost 5269
2001年07月18日04:27:05 星期三 EXIT shaoxb Stay: 3 (心情)
2001年07月18日04:27:17 星期三 ENTER shaoxb ?@localhost 5304
2001年07月18日04:30:27 星期三 ENTER shaoxb ?@localhost 5337
2001年07月18日04:36:29 星期三 AXXED shaoxb Stay: 6 (心情)
2001年07月18日04:36:56 星期三 AXXED shaoxb Stay: 9 (心情)
由此可知,帐号zzy在线的时间段和停留时间为:不注明的登陆位置为localhost
4:09:43~~4:10:21 0
4:10:21~~4:11:11 0 HUST-N1(33)
4:11:28~~4:19:00 7
4:12:03~~4:18:50 6
4:19:54~~4:23:15 3
(*) 4:23:59~~4:24:14 0
(*) 4:24:37~~4:26:39 2
帐号shaoxb在线的时间段和停留时间为:不注明的登陆位置为localhost
4:00:56~~4:03:17 2 HUST-N1(33)
(*) 4:23:24~~4:27:05 3
4:27:17~~4:36:56 9
4:30:27~~4:36:29 6
注意用(*)标注的两者的登陆时间段,再对照ssh连接的时间(注意ssh连接
没有出现重叠的连接),其中有:
bbs pts/4 211.69.197.33 Wed Jul 18 04:23 - 04:27 (00:03)
这说明,在04:23~04:27这个时间上面,只有一个ssh通道连接在本站,来源位置
是211.69.197.33,因为没有其他站长在线,且没有用户使用localhost穿梭,那么
在那个时候从localhost登陆的用户肯定只能通过这唯一的ssh通道,且肯定是在同
一台机器上面登陆的。
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
【续廿八】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿八)
发信站: 武汉白云黄鹤站 (2003年06月25日23:52:04 星期三), 站内信件
接着,调查报告列举了取证过程当中的各项证据以及与lworm等人的聊天记录。
并试图重现密码泄漏事件的场景:
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 密码泄露调查报告(6)
发信站: 武汉白云黄鹤站 (2001年07月20日13:12:33 星期五), 站内信件
在lworm和quickmouse站长讨论结束之后,再次提取lworm信箱数据,发现lworm
自己删除了ysg转发给他的关于ssh登陆的文章(其中包含密码)。就此情况,
quickmouse站长从两周以前的备份数据当中恢复了lworm和ysg的信件记录到另外的帐
号当中作证据保留。并根据信件记录推测如下的过程:
1、lworm向zzy索要zzy帐号的密码
2、lworm向ysg表示其获得了zzy的帐号密码
3、ysg告知lworm,单纯有zzy的帐号密码仍然无法用zzy的帐号登陆,由于
zzy曾经在lworm那里上网,知道需要专门的软件连接。lworm遂要求ysg
提供相应的软件。
4、ysg告诉lworm软件下载的地点,lworm下载后不知道如何使用,再次发信
询问ysg关于软件使用的方法,ysg随即将quickmouse写在站长讨论区的
软件使用方法(内含密码)转发给lworm
5、lworm在之后询问ysg,如何使用隐身,并说明如果没有隐身其不敢登陆。
相关的证据已经提交站务组保存。
19日中午,ysg从深圳登陆本站,承认是他将ssh登陆的密码告知lworm。并且,
一再说明他和zzy都相信lworm不会将密码扩散,也不会用zzy的id做坏事。
至此,lworm如何获取用zzy帐号登陆本站的能力已经明确。但是我们不能保证
zzy的帐号没有被非其本人使用,无法保证没有人利用zzy帐号的权限获取用户私人
信息以及保密讨论区的讨论内容,也无法保证zzy帐号密码和ssh加密访问方式的密
码没有扩散。
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
最后,调查报告针对取证、结论部分给出阶段性意见:
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 密码泄露调查报告(7)(完)
发信站: 武汉白云黄鹤站 (2001年07月20日13:45:00 星期五), 站内信件
19日晚,lworm、shaoxb、Asuka、quickmouse再次在聊天室对zzy帐号从华工
南一舍登陆的事件作调查。shaoxb一再强调自己没有用zzy的帐号成功登陆,只是
说其从zzy曾经用过的机器上,利用zzy自动保存的ssh登陆密码获取了从localhost
登陆的能力,但其无法解释为什么从主机记录上面发现当晚zzy和shaoxb从同一台
机器登陆本站。shaoxb承认其先后测试过zzy,SYSOP,bf的帐号密码。但否认用
zzy帐号成功登陆。
从18日凌晨zzy帐号访问版面的记录来看,该用户浏览了如下版面:
2001年07月18日04:14:19 USE HGStudent Stay: 14 (zzy)
2001年07月18日04:14:50 USE ThinkTank Stay: 7 (zzy)
2001年07月18日04:15:04 USE bbslists Stay: 13 (zzy)
2001年07月18日04:15:15 USE bbslists Stay: 7 (zzy)
2001年07月18日04:15:22 USE BoardManager Stay: 2 (zzy)
2001年07月18日04:21:28 USE ThinkTank Stay: 15 (zzy)
2001年07月18日04:24:50 USE HGStudent Stay: 4 (zzy)
这其中包含保密的bbslists和ThinkTank讨论区。
至此,调查工作结束。
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
【续廿九】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续廿九)
发信站: 武汉白云黄鹤站 (2003年06月26日00:02:09 星期四), 站内信件
这个调查报告断断续续的从上午10点写到下午2点,期间我还不停
的与站务组其他站长交换意见。最后,根据自己的感想,说了一下意见:
发信人: quickmouse (碰猫死翘翘), 信区: admin
标 题: 我的一点看法
发信站: 武汉白云黄鹤站 (2001年07月20日14:14:44 星期五), 站内信件
对于这个事件,能够调查取证的都已经作了。对于一些不愿意承认的人,再
问下去也没有什么意义。我说一下我个人对此事的一些看法:
1、zzy和ysg无论在什么情况下都不应该对外泄露站务级别的密码,包括ssh
登陆密码和自己的帐号密码
2、在本站使用ssh登陆方式之前,zzy的帐号密码就不止其本人知道。有几次
ysg还有其他的站长就发现过在线的zzy帐号的说话方式不一样,并确认不
是zzy本人。在使用ssh之后,zzy的密码依然被他人知道,而且这样的事情
向其他站长隐瞒,情节是非常严重的
3、ysg在lworm获取ssh登陆密码的过程中扮演了非常重要的角色,可以说,是
毫无保留的协助lworm取得了ssh登陆方式以及密码,事后觉得不妥,也没有
明确告知其他站长
最后,这件事情,如果不是bf站长细心的发现自己的帐号密码被测试过,还不
知道这些情况会被隐瞒多久。在lworm申请华工学人版的斑竹过程当中,ysg和zzy
大力的推崇,而其中有网友指出lworm其实在华工学人版面没有文章出现,并提出
异议,ysg和zzy坚持他们认为其合适,不知道这件事情和lworm事实上具备与站长
相同的权限之间有没有什么联系。lworm说其虽然有登陆的能力,但其对站务不感
兴趣,所以没有用zzy的帐号登陆。但既然这样,又何必总是追缠ysg索要ssh登陆
方式和密码呢?shaoxb说既然其知道zzy的密码,肯定不会测试SYSOP和bf的密码,
但是明眼人一看就知道zzy已经没有所有站长权限,所以不测试怎么能看到一些
保密讨论区的内容呢?因为zzy的密码和ssh密码取的是同一个,所以他可能也认为
其他的站长密码也是一样的。当然,这些都是我的推测而已。
事件的调查过程当中,调查的部分数据来自备份的用户私人信件。原因在于
此事作为本站有史以来最严重的事故需要查阅部分用户的私人信息才能确认,这
是要特地说明的。
这件事情的最后裁决请站务组和智囊团的各位成员共同商定,公告还是必要的,
虽然在短期之内会有损站务组的威信。但是,我觉得出现了这么严重的事故,普通
用户有权力知道事情的真相。作一个内部处理,并不能真实的反映这件事情的严重性。
--
☆两个人相互辉映,光芒胜过夜晚繁星☆
E-mail:QuickMouse@263.net QuickMouse@Chinaren.com
【续三十】
发信人: quickmouse (碰猫死翘翘★笑看世间覆雨翻云), 信区: sysop
标 题: 2001.07密码泄漏事件回顾(续三十)
发信站: 武汉白云黄鹤站 (2003年09月04日00:57:22 星期四), 站内信件
在我撰写调查报告的之前,20日的清晨,ysg在智囊团重述了其观点。
发信人: ysg (请mail给hustetao@263.net), 信区: ThinkTank
标 题: 早晨醒的很早
发信站: 武汉白云黄鹤站 (2001年07月20日06:53:49 星期五), 站内信件
来上一会,从今天开始,我的人生将是另外一个起点,
有很想对这里做一个了段。
在大学四年里,我几乎有一年半时间是炮在byhh上的,
这里流下我的泪水和汗水,也有过很多的开心,现在的
离去,唯一割舍不下的,就是我在这里认识的一大全网友,
尤其是一些好友,本来在走前我就想让ysg这个id消失,只是怕
我的朋友们找不到我。到如今,可能真的要走了。。。。
对于这次事情,我能理解大家的做法,但是,我最后一次表书一些
东西,我不是个死靠原则的人,也不是没有原则的人,共事这么久,
我想现任站务更清楚,我不可能让一个我欣不过的人知道密码,
前次taro说水母的id,我当时把水母的ysg密码告诉了,因为,以我对
taro j的了解和各位智囊的了解和ysg这个id在水母的作用,我告诉
taro我觉得没什么,因为,我绝对不相信taro和在这个版看到我的文章
的人会在水母用那个id无理闹事,并且,那个id在水母一没有重要信笺,
二没有任何特殊权限。我相信这个id密码的泄露不会给我造成不应当的损失,
但却能够给别人提供方便。当然这件事与水母ysg密码是不一样的,我仅仅
是拿出来做个说明,我是视对对方的了解和是否值得信任来决定一些事情的
取舍的,而直到现在,我都还是承认,lworm是我的兄弟,我相信他不会刻意做
可能会对我的利益造成很大伤害的事。这一点,我可能就是这样的“执迷不悟”,
如果以后因为我相信你们(重点指我的“走了”一文中提到的id的前几个),而
对我自己造成刻意的伤害,我也认了,朋友尖重要的是信任,我不想因为这件事
而改变我的看法。
不过,无论怎么说,我不能掩盖也不想掩盖的是我的失职,告诉密码后应该告诉
大家的,但我没有。我仅仅想说明的一点,就是,以我的了解,事实上的损失并没有
大家所料想的这么严重。
密码泄露后的事情,我也猜测一下,没有完全的根据。
zzy两个密码是一样的,所以可能shaoxb也以为其他站长也是的,所以测试了bf.
其他的我就不清楚了。
哎。。。
我昨天已经表明我的请求,今天再次申明一下,我把原文转贴:
。。。。。。。
我算是有一个请求,希望无论如何,争取不要再在sysop谈起ysg......
很累。而这次的公告也属于提起的范围,希望不至于要发。
taro j的了解和各位智囊的了解和ysg这个id在水母的作用,我告诉
taro我觉得没什么,因为,我绝对不相信taro和在这个版看到我的文章
的人会在水母用那个id无理闹事,并且,那个id在水母一没有重要信笺,
二没有任何特殊权限。我相信这个id密码的泄露不会给我造成不应当的损失,
但却能够给别人提供方便。当然这件事与水母ysg密码是不一样的,我仅仅
是拿出来做个说明,我是视对对方的了解和是否值得信任来决定一些事情的
取舍的,而直到现在,我都还是承认,lworm是我的兄弟,我相信他不会刻意做
可能会对我的利益造成很大伤害的事。这一点,我可能就是这样的“执迷不悟”,
如果以后因为我相信你们(重点指我的“走了”一文中提到的id的前几个),而
对我自己造成刻意的伤害,我也认了,朋友尖重要的是信任,我不想因为这件事
而改变我的看法。
不过,无论怎么说,我不能掩盖也不想掩盖的是我的失职,告诉密码后应该告诉
大家的,但我没有。我仅仅想说明的一点,就是,以我的了解,事实上的损失并没有
大家所料想的这么严重。
密码泄露后的事情,我也猜测一下,没有完全的根据。
zzy两个密码是一样的,所以可能shaoxb也以为其他站长也是的,所以测试了bf.
其他的我就不清楚了。
哎。。。
我昨天已经表明我的请求,今天再次申明一下,我把原文转贴:
。。。。。。。
我算是有一个请求,希望无论如何,争取不要再在sysop谈起ysg......
很累。而这次的公告也属于提起的范围,希望不至于要发。
发的话不要出现ysg这个id(哎,不可能的),我无意于以
自杀来要挟曾经一起共事的战友,但我确实会这样做的,
如果,你们不能尊重我的不发公告的请求,请给予我自杀的权利并
尊重我的这个选择。
ysg
7.20清晨
--
※ 修改:·ysg 於 07月20日06:54:20 修改本文·[FROM: 深圳一网情深BBS]
但是这个主题没有任何人的回复,或许是无奈,或许是失望,也或许是因为
还一时无法接受这样的事实。
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=408393