北京市海淀區(qū)人民檢察院指控�����,2014年11月2日�,被告人張×在其家中,利用其租用的VPS服務(wù)器作為主控服務(wù)器����,使用自己的電腦登陸服務(wù)器后,利用SYN掃描器掃描出互聯(lián)網(wǎng)內(nèi)存在WDCP漏洞的計(jì)算機(jī)信息系統(tǒng)�,并使用“Mysql.exe”文件取得上述計(jì)算機(jī)信息系統(tǒng)的控制權(quán),后利用其租用的VPS服務(wù)器內(nèi)“3600集訓(xùn)”軟件生成名為“ip32.rar”的木馬文件���,再利用SSH連接器將該木馬上傳至其控制的計(jì)算機(jī)信息系統(tǒng)上����,致使該計(jì)算機(jī)信息系統(tǒng)對外做ddos流量攻擊。經(jīng)查��,被告人張×以上述方法非法控制騰訊云計(jì)算(北京)有限責(zé)任公司(住所地:本市海淀區(qū)上地三街9號B座B1103室)的計(jì)算機(jī)信息系統(tǒng)共計(jì)102臺����,致使騰訊云網(wǎng)絡(luò)癱瘓約100分鐘。
被告人張×于2014年12月24日被公安機(jī)關(guān)抓獲歸案���,后如實(shí)供述了上述犯罪事實(shí)?����,F(xiàn)涉案電腦已扣押在案�����。
針對上述指控���,公訴機(jī)關(guān)向本院提供了相應(yīng)的證據(jù)材料,認(rèn)為被告人張×的行為已構(gòu)成非法控制計(jì)算機(jī)信息系統(tǒng)罪����,情節(jié)特別嚴(yán)重,提請本院依照《中華人民共和國刑法》第二百八十五條 第二款 、第六十七條 第三款 之規(guī)定,對其定罪處罰���。
被告人張×對公訴機(jī)關(guān)指控的事實(shí)及罪名均沒有提出異議�����,但辯解自己非法控制的計(jì)算機(jī)信息系統(tǒng)不滿100臺����。
其辯護(hù)人發(fā)表的辯護(hù)意見為:對公訴機(jī)關(guān)指控的罪名無異議�,但對情節(jié)特別嚴(yán)重有異議��。流量截圖�、監(jiān)控異常圖無法證明被告人非法控制102臺����,通過對外攻擊的IP列表,顯示很多“缺失”和沒有的項(xiàng)目�,故沒有充足的證據(jù)證明被告人非法控制102臺,建議法院按照情節(jié)嚴(yán)重對其在三年以下有期徒刑量刑并適用緩刑��。
經(jīng)審理查明:
2014年11月2日��,被告人張×出于炫耀的目的�,在其家中,利用其租用的VPS服務(wù)器作為主控服務(wù)器���,在使用自己的電腦登陸服務(wù)器后��,利用SYN掃描器掃描出互聯(lián)網(wǎng)內(nèi)存在WDCP漏洞的計(jì)算機(jī)信息系統(tǒng),并使用“Mysql.exe”文件取得上述計(jì)算機(jī)信息系統(tǒng)的控制權(quán)���,隨后利用其租用的VPS服務(wù)器內(nèi)“3600集訓(xùn)”軟件生成名為“ip32.rar”的木馬文件��,再利用SSH連接器將該木馬上傳至其控制的計(jì)算機(jī)信息系統(tǒng)上���,致使該計(jì)算機(jī)信息系統(tǒng)對外做DDOS流量攻擊��。經(jīng)查�,被告人張×以上述方法非法控制騰訊云計(jì)算(北京)有限責(zé)任公司的計(jì)算機(jī)信息系統(tǒng)共計(jì)94臺����,致使騰訊云網(wǎng)絡(luò)癱瘓約100分鐘。
同年12月24日�����,被告人張×被公安機(jī)關(guān)抓獲����。
針對上述事實(shí),公訴機(jī)關(guān)當(dāng)庭宣讀并出示了偵查機(jī)關(guān)依法收集和調(diào)取的如下證據(jù)材料:
1.被告人張×的供述�����,其供稱�����,2014年11月1日,其在網(wǎng)上發(fā)現(xiàn)了云服務(wù)器的WDCP漏洞�����,便請朋友幫助做了WDCP入侵����、WDCP密鑰下載、SSH連接器��、HTTP等4個漏洞檢測的軟件����。之后其在淘寶網(wǎng)上用支付寶租用了安徽淮北的IP為60.172.229.178的VPS服務(wù)器。11月2日凌晨3時許�����,其在出租房內(nèi)�����,用自己電腦上的SYN軟件掃描互聯(lián)網(wǎng)上存在漏洞的服務(wù)器的IP地址�,再用WDCP入侵軟件測試掃描到的服務(wù)器是否是WDCO頁面,是否有默認(rèn)密碼����,篩選出是WDCP界面的服務(wù)器后,再用HTTP直接訪問軟件來嘗試進(jìn)入WDCP目錄下的一個文件����,如果此文件存在就有被入侵的可能。然后軟件會自動生成一個IP的列表�����,其再手動把IP的列表輸入到WDCP密鑰下載到此軟件里�,軟件進(jìn)而會自動篩選出符合被控制條件的服務(wù)器生成密鑰文件。其再用SSH連接器連接這些IP�����。通過此方法其一共控制了325臺云服務(wù)器�,且其在被控制的服務(wù)器上建立了“jgjsfgv”的后臺賬號。其在租用的服務(wù)器上安裝一個3600集訓(xùn)軟件����,此軟件生成”ip32.rar”的木馬文件,自動安裝到被其控制的325臺云服務(wù)器里��。當(dāng)日12時許���,其在淘寶網(wǎng)上找了一個能測試流量的人���,用支付寶買了些IP�,用于測試其所控制“肉雞”攻擊的流量值��。
2.證人黃×(騰訊云計(jì)算(北京)有限責(zé)任公司的客戶部總監(jiān))的證言��,證明2014年11月2日中午����,有客戶反映騰訊云服務(wù)器無法正常訪問。其立即聯(lián)系公司在深圳的安全團(tuán)隊(duì)����,技術(shù)人員通過審查發(fā)現(xiàn)102臺服務(wù)器在向外做大量的ICMP攻擊,導(dǎo)致其公司的網(wǎng)絡(luò)有大量向外發(fā)送的數(shù)據(jù)包��,超過了網(wǎng)絡(luò)可以負(fù)荷的限度����,使騰訊云網(wǎng)絡(luò)癱瘓。技術(shù)人員通過分析服務(wù)器日志發(fā)現(xiàn)���,當(dāng)日7時至14時時間段內(nèi)的ICMP流量異常�,因此認(rèn)為是有人有網(wǎng)絡(luò)攻擊行為。當(dāng)日14時15分系統(tǒng)恢復(fù)正常�,上述行為造成公司網(wǎng)絡(luò)癱瘓的時間持續(xù)了約100分鐘。
3.證人王×(騰訊科技有限公司云平臺的安全高級工程師)的證言����,證明2014年11月2日���,有客戶反映騰訊云服務(wù)器無法正常訪問��,其立即通過日常的審計(jì)系統(tǒng)查看�����,發(fā)現(xiàn)102臺服務(wù)器在向外做大量的ICMP攻擊����,導(dǎo)致公司網(wǎng)絡(luò)有大量向外發(fā)送的數(shù)據(jù)包���,超過了網(wǎng)絡(luò)可以負(fù)荷的限度�,使騰訊云網(wǎng)絡(luò)癱瘓����。其通過分析服務(wù)器日志發(fā)現(xiàn)�,當(dāng)日7時至14時時間段內(nèi)的ICMP流量異常�,因此認(rèn)為這是利用騰訊云服務(wù)器進(jìn)行的網(wǎng)絡(luò)攻擊行為。通過查看日志發(fā)現(xiàn)���,凌晨3時38分左右���,有人通過182.86.128.224的IP地址,利用騰訊云的WDCP漏洞��,在騰訊云102臺服務(wù)器上建立了SSH后臺賬號���。當(dāng)日7時至7時半���,有人從IP地址60.172.229.172的服務(wù)器通過已建立的SSH后臺賬號登陸這些主機(jī),同時從該IP批量下載文件名為ip32.rar(一個可以發(fā)起流量攻擊的木馬文件)的工具����,然后啟動軟件對外發(fā)起攻擊。其發(fā)現(xiàn)這一情況后�����,于當(dāng)日14時將攻擊行為的主機(jī)進(jìn)行隔離處理����,攻擊行為中止�����。上述攻擊行為造成公司網(wǎng)絡(luò)癱瘓時間持續(xù)約100分鐘���,經(jīng)濟(jì)損失數(shù)百萬元���。
4.證人劉×(騰訊科技有限公司云平臺的安全工程師)的證言���,證明內(nèi)容同上。
5.證人江×(騰訊科技有限公司云平臺的安全工程師)的證言��,證明公司保存的被入侵時的服務(wù)器日志包括黑客利用WDCP漏斗入侵并建立賬戶jgjsfgv登陸phpmyadmin�����,生成SSH登陸密鑰����,通過密鑰登陸系統(tǒng),啟動對外攻擊程序這5部分���,提取到的攻擊時用的惡意程序是文件名為ip32.rar的可執(zhí)行文件�,下載后自動執(zhí)行,然后產(chǎn)生對外攻擊行為�。其余證明內(nèi)容同上。
6.證人汪×(北京有愛互娛科技有限公司的運(yùn)營總監(jiān))的證言�,證明2014年11月2日12時30分左右,其公司租用的騰訊云計(jì)算(北京)有限責(zé)任公司的服務(wù)器系統(tǒng)發(fā)出警示���,顯示服務(wù)器不可用���,在云服務(wù)器上運(yùn)營的網(wǎng)絡(luò)游戲無法登陸,公司員工立即與騰訊云公司聯(lián)系反映上述問題����,對方告知服務(wù)器遭到了攻擊。當(dāng)日14時許�����,對方告知服務(wù)器修好恢復(fù)正常�����,其公司的服務(wù)器也恢復(fù)正常使用了�����。此事件使該公司網(wǎng)絡(luò)游戲受影響時間持續(xù)100分鐘左右。
7.證人高×(北京無憂互通網(wǎng)絡(luò)科技有限公司的CEO)的證言����,證明其公司租用騰訊云服務(wù)器作為手機(jī)游戲的服務(wù)器使用。2014年11月2日中午����,其公司發(fā)現(xiàn)游戲服務(wù)器后臺很少有玩家充值、游戲數(shù)據(jù)包丟失���,同時大量玩家反映登陸不上服務(wù)器,其立即與騰訊云公司聯(lián)系���,對方說服務(wù)器遭受攻擊��。當(dāng)日下午14時許��,對方告知服務(wù)器恢復(fù)�。其公司受影響時間為100分鐘左右�,造成3款網(wǎng)絡(luò)游戲不能正常運(yùn)營,大約30萬左右玩家無法登陸游戲����。
8.證人徐×(安徽傲龍網(wǎng)絡(luò)有限公司的技術(shù)經(jīng)理)的證言����,證明其公司提供計(jì)算機(jī)服務(wù)器租賃��、托管服務(wù)�����,IP60.172.229.178的服務(wù)器在2014年10月25日至11月29日租給了“王嵐”使用�����。此后該服務(wù)器至今空置�。該客戶使用上述服務(wù)器過程中產(chǎn)生的文件和日志等相關(guān)線索公司均有備份�。
工作說明顯示,其公司于同年12月15日���,將涉案服務(wù)器在同年10月25日至11月29日期間客戶使用過程中產(chǎn)生的文件和日志等相關(guān)線索���,向公安機(jī)關(guān)提供。
9.北京信諾司法鑒定所“騰訊云平臺被攻擊案鑒定意見書”,證明涉案計(jì)算機(jī)軟件及硬件等電子證據(jù)的鑒定情況��,其中:送檢的光盤(騰訊云公司服務(wù)器中提?����。﹥?nèi)提取出的服務(wù)器鏡像文件2個經(jīng)分析���,提取出名稱為“生成器.Exe”等軟件5個�����,此5個軟件均為惡意攻擊程序����;經(jīng)一致性比對���,提取出的“ip32.rar”與送檢的U盤(案發(fā)后公安機(jī)關(guān)自騰訊云公司服務(wù)器中提取)內(nèi)提取出的“ip32.rar”為同一軟件����。
在臺式計(jì)算機(jī)(被告人張×家中起獲的其使用的臺式計(jì)算機(jī))內(nèi)置第2塊硬盤內(nèi)提取出QQ聊天記錄及名稱為“Mysq1.exe”的軟件1個,經(jīng)分析���,該軟件可對導(dǎo)入的網(wǎng)址進(jìn)行自動登錄�����,利用WDCP漏洞向mysq1數(shù)據(jù)庫內(nèi)添加用戶并下載SSH登錄密鑰文件��,取得控制權(quán)�。
鑒定書附件羅列了從送檢的移動電話(被告人張×家中起獲的其使用的手機(jī))中提取并恢復(fù)的通話記錄及短信息的內(nèi)容。
10.司法會計(jì)鑒定書�����,證明確認(rèn)騰訊云公司申報的經(jīng)濟(jì)損失金額��。
11.現(xiàn)場勘驗(yàn)檢查工作記錄���,證明位于張×景德鎮(zhèn)市珠山區(qū)方家山新村的住處二層房間內(nèi)的組裝臺式計(jì)算機(jī)����,使用者的QQ號碼為×××(昵稱users)����,該號碼關(guān)系人為與“webshe11、DDOS”等內(nèi)容相關(guān)����。聊天內(nèi)容為黑客攻擊等相關(guān)內(nèi)容���。該計(jì)算機(jī)使用者擁有正版“3600集群3.0帶輪訓(xùn)”、“ssh.rar”����、“wdcp拿站”、“心腦出血漏洞掃描器漢化版”�、“2013遠(yuǎn)程代碼執(zhí)行漏洞”等黑客相關(guān)內(nèi)容文件。該計(jì)算機(jī)使用者通過遠(yuǎn)程操控主機(jī)進(jìn)行模擬百度點(diǎn)擊刷流量操作���。
對張×的蘋果牌手機(jī)勘驗(yàn)分析為:張×在2014年11月2日11時許對他人提及自己的DDOS攻擊行為���。該行為導(dǎo)致多臺服務(wù)器被攻擊,被攻擊服務(wù)器主機(jī)無法正常工作�����。
遠(yuǎn)程勘驗(yàn)檢查工作記錄�����,證明對騰訊科技有限公司云平臺部相關(guān)服務(wù)器數(shù)據(jù)進(jìn)行勘驗(yàn)���,從主機(jī)提取到可疑文件“ip32.rar”刻錄至光盤����。
12.騰訊云公司提供的光盤內(nèi)容的文字說明�,證明該光盤內(nèi)的內(nèi)容為:102臺對外攻擊IP列表、DDOS工具(ip32.rar)分析�、當(dāng)天流量截圖、當(dāng)天日志匯總��、網(wǎng)絡(luò)流量監(jiān)控異常圖示����、網(wǎng)絡(luò)抓包文件、網(wǎng)絡(luò)抓包文件V2版本�。
13.公司營業(yè)執(zhí)照副本復(fù)印件,證明騰訊云計(jì)算(北京)有限責(zé)任公司住所地在海淀區(qū)���。
14.騰訊云公司出具的證明文件���,證明本案被控制的102臺服務(wù)器物理位置位于廣州、上海�����;此案影響到騰訊云CDN加速服務(wù),騰訊云CDN加速服務(wù)器的位置在其公司北京機(jī)房�����。
15.騰訊云公司的說明�,證明騰訊云公司涉案的102
臺服務(wù)器為20多家網(wǎng)絡(luò)游戲公司提供游戲服務(wù),無法統(tǒng)計(jì)用戶數(shù)量��。
16.到案經(jīng)過�,證明被告人張×到案的過程。
另有騰訊云平臺流量檢測圖�����、騰訊云公司百倍賠償
說明�、合同3份、扣押清單��、工作說明���、被告人身份信息等材料����,證明案件的相關(guān)情況���。
經(jīng)庭審質(zhì)證�,被告人張×及辯護(hù)人對騰訊云公司被控制電腦IP列表提出異議�����,認(rèn)為此表中“流量圖缺失”有11臺��;“抓包文件缺失”4臺�;“入侵日志”生成只有7臺,有96臺沒有����;“攻擊日志”標(biāo)記“缺失”的有7臺,標(biāo)記“否”的有4臺�,故至少有13臺服務(wù)器不能證明是被告人張×非法控制的。對控方其余證據(jù)沒有提出異議��。
法庭認(rèn)為�����,控方當(dāng)庭出示的證據(jù)�,形式及來源合法、有效�,內(nèi)容客觀真實(shí)���,且與案件事實(shí)相關(guān)聯(lián),對其證明效力�,本院予以確認(rèn)。對于被告人張×及其辯護(hù)人的質(zhì)證意見���,法庭將結(jié)合全案的事實(shí)及證據(jù)��,在下文一并作出綜合評判���。
