一. 站长组织权限架构 目前Ptt的架构是站务站长没有系统权限, 系统站长不管站务, 而站务站长, 以站长权限做的修改, 在Security板都有纪录, (相关规则原始码请参考Ptt Open Source的相关原始码) 而要规避Security板的纪录, 只有系统站长可以做到, 系统站长一般都是以bbsadm的权限对系统作修改, 但使用bbsadm在系统做动作也都是会有纪录, 这个对bbsadm纪录就只有root碰得到并修改, 以目前Ptt系统站长的Root就是in2. 本报告就依站务站长及系统站长於事发当天的记录, 以及系统bug三方面作调查 二.事发当时站务站长调查 1.比对系统记录 依系统记录显示 ======== 02/10/2005 11:25:42 Thu SetUser jdwreck cromartie =========== 此为当天唯一有更动到cromartie帐号的站务站长纪录 对照当天权限修改报告 ====================== 作者 [系统安全局] 看板 Security 标题 [公安报告] 站长修改权限报告 时间 Thu Feb 10 11:25:42 2005 ─────────────────────────────────────── 站长jdwreck关闭cromartie信件无上限的权限 站长jdwreck开启cromartie不允许认证码注册的权限 ================================= 2.什麽权限能修改使用者资料 使用者资料lastlogin(上次上站时间), lasthost(故乡), numlogin(上站数)三部分 目前只有拥有 帐号总管(PERM_ACCOUNTS)及站长(PERM_SYSOP)权限者 可以修改 但只能修改lasthost及numlogin, 无法修改 lastlogin 3.该项修改是否系统有记录? 站务站长只能由bbs管理介面修改资料, 而修改後 usies(系统记录) 会有一行 SetUser, usies记录站务站长无法接触到 隔天会出现在Security板上 4.若有纪录是否能被修改、删除. Security 板的文章站务站长无法删除, 但能修改, 不过修改也会留下纪录. 目前没有修改纪录 此时Thu Feb 10 11:25:42 2005也并没有IP变更的问题 站务站长因此排除 三. 事发当时系统站长调查 事发当时在场的系统工作人员为 smartboy scwg 两者表示都没有动过 而就对bbsadm系统做的纪录, bbsadm也没有修改进站资料的纪录. 四. 系统漏洞调查 numlogin及上站时间, 在部分条件并不会增加, 使用者以某种方式办到 lastlogin, numlogin 相同, 但 lasthost 不同. 以下就目前已知可达成同样效果的方法作调查. 1. 多重帐登入造成IP变动调查, 根据 mbbsd.c user_login() lastlogin, lasthost, numlogin 的更改应该会一起写入 PASSWD 除非 i. 有 PERM_SYSOPHIDE(紫隐) 权限, 则 lastlogin 不会更新 ii. 权限被拔光, 则 lasthost, numlogin 不会更新 iii. 另有其他地方後来更改了 lastlogin 的值 而 上站多只先後下站, 的确可以办到, numlogin 相同, lasthost 不同 调查结果: 依照当时上站纪录此使用者并没有此现象. (证据资料: 上站纪录受个人资料保护法约束, 需当事人同意才可公开) 2. 透过编辑器不正常断线造成IP变动调查, at host A, 正常上站, 进入编辑器, 不正常断线 at host B, 上站到达询问是否存档的地方, 按 ctrl-u 进入使用者名单, 按 C 切换隐身, 然後不正常断线. 整个动作要在一分钟内完成. 调查结果: 此使用者并没有此现象. i. 他目录里没有编辑器暂存档 ii. 他离线没出现在 usies 3. 达成此纪录的可能其他原因 至报告截稿为止目前尚未查出. 五.结论 此调查报告排除站务站长, 系统站长涉案, 但也无证据证明是用何种模式达成此相关纪录, 或是否是有意造成. PTT 系统部 02/16/2005 -- 杜奕瑾 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 128.231.210.110