[公告] cromartie IP變動調查報告
一. 站長組織權限架構
目前Ptt的架構是站務站長沒有系統權限, 系統站長不管站務,
而站務站長, 以站長權限做的修改, 在Security板都有紀錄,
(相關規則原始碼請參考Ptt Open Source的相關原始碼)
而要規避Security板的紀錄, 只有系統站長可以做到,
系統站長一般都是以bbsadm的權限對系統作修改,
但使用bbsadm在系統做動作也都是會有紀錄,
這個對bbsadm紀錄就只有root碰得到並修改, 以目前Ptt系統站長的Root就是in2.
本報告就依站務站長及系統站長於事發當天的記錄, 以及系統bug三方面作調查
二.事發當時站務站長調查
1.比對系統記錄
依系統記錄顯示
========
02/10/2005 11:25:42 Thu SetUser jdwreck cromartie
===========
此為當天唯一有更動到cromartie帳號的站務站長紀錄
對照當天權限修改報告
======================
作者 [系統安全局] 看板 Security
標題 [公安報告] 站長修改權限報告
時間 Thu Feb 10 11:25:42 2005
───────────────────────────────────────
站長jdwreck關閉cromartie信件無上限的權限
站長jdwreck開啟cromartie不允許認證碼註冊的權限
=================================
2.什麼權限能修改使用者資料
使用者資料lastlogin(上次上站時間), lasthost(故鄉), numlogin(上站數)三部分
目前只有擁有 帳號總管(PERM_ACCOUNTS)及站長(PERM_SYSOP)權限者 可以修改
但只能修改lasthost及numlogin, 無法修改 lastlogin
3.該項修改是否系統有記錄?
站務站長只能由bbs管理介面修改資料,
而修改後 usies(系統記錄) 會有一行 SetUser, usies記錄站務站長無法接觸到
隔天會出現在Security板上
4.若有紀錄是否能被修改、刪除.
Security 板的文章站務站長無法刪除, 但能修改, 不過修改也會留下紀錄.
目前沒有修改紀錄
此時Thu Feb 10 11:25:42 2005也並沒有IP變更的問題
站務站長因此排除
三. 事發當時系統站長調查
事發當時在場的系統工作人員為 smartboy scwg 兩者表示都沒有動過
而就對bbsadm系統做的紀錄, bbsadm也沒有修改進站資料的紀錄.
四. 系統漏洞調查
numlogin及上站時間, 在部分條件並不會增加, 使用者以某種方式辦到 lastlogin,
numlogin 相同, 但 lasthost 不同.
以下就目前已知可達成同樣效果的方法作調查.
1. 多重帳登入造成IP變動調查,
根據 mbbsd.c user_login()
lastlogin, lasthost, numlogin 的更改應該會一起寫入 PASSWD
除非 i. 有 PERM_SYSOPHIDE(紫隱) 權限, 則 lastlogin 不會更新
ii. 權限被拔光, 則 lasthost, numlogin 不會更新
iii. 另有其他地方後來更改了 lastlogin 的值
而 上站多隻先後下站, 的確可以辦到, numlogin 相同, lasthost 不同
調查結果:
依照當時上站紀錄此使用者並沒有此現象.
(證據資料: 上站紀錄受個人資料保護法約束, 需當事人同意才可公開)
2. 透過編輯器不正常斷線造成IP變動調查,
at host A, 正常上站, 進入編輯器, 不正常斷線
at host B, 上站到達詢問是否存檔的地方, 按 ctrl-u 進入使用者名單,
按 C 切換隱身, 然後不正常斷線. 整個動作要在一分鐘內完成.
調查結果:
此使用者並沒有此現象.
i. 他目錄裡沒有編輯器暫存檔
ii. 他離線沒出現在 usies
3. 達成此紀錄的可能其他原因
至報告截稿為止目前尚未查出.
五.結論
此調查報告排除站務站長, 系統站長涉案,
但也無證據證明是用何種模式達成此相關紀錄, 或是否是有意造成.
PTT 系統部
02/16/2005
--
杜奕瑾
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 128.231.210.110
推
218.34.227.59 02/18, , 1F
218.34.227.59 02/18, 1F
推
218.34.227.59 02/18, , 2F
218.34.227.59 02/18, 2F
推
218.161.0.179 02/18, , 3F
218.161.0.179 02/18, 3F
推
140.135.254.169 02/18, , 4F
140.135.254.169 02/18, 4F
推
220.142.37.203 02/18, , 5F
220.142.37.203 02/18, 5F
→
220.142.37.203 02/18, , 6F
220.142.37.203 02/18, 6F
推
61.57.88.186 02/18, , 7F
61.57.88.186 02/18, 7F
推
218.168.56.77 02/18, , 8F
218.168.56.77 02/18, 8F
推
220.134.156.76 02/20, , 9F
220.134.156.76 02/20, 9F
推
220.139.3.13 08/05, , 10F
220.139.3.13 08/05, 10F
推
02/16 13:18, , 11F
02/16 13:18, 11F