0x00 序
本以为自己回来写的第一篇长文和原神有关,但没想到自己还得为这件事收个尾。
今年开学前一神秘人开始了对我站成员的邮件群发骚扰,以及有组织有预谋地往注册表单里倒垃圾。直到昨天,此人仍然用同样的方式进行活动,同时在GitHub上用完全碰不到相关人员个人信息的方式挂人。
在综合跟踪搜集了一个多月的线索后,我们得出了相应的判断,在此公之于众。
0x01 初识破坏分子,确认搜索范围
事情从这里开始:
前本站用户James-Li在议会群提醒“有xxs来爆破论坛注册表单”,却并未给出消息来源。其消息成了现实,后来发生了符合其预测的骚扰行为(见 JC_ProPlus )。
在我们关闭了注册表单提交后的自动脚本后,此人骚扰行为升级,转向了对数个管理的邮件群发以及QQ综合交流群内的邮件群发。
此时我们确定了此人拥有的几个特征:
- 加入了wvb“议会”讨论群;
- 在wvb Microsoft 365中拥有账号;
- 拥有技术力隐藏自己身份,但没有更高的技术力对我们发起攻击。
值得一提的是前本站用户James-Li曾受邀获得过核心管理组权限来清除前本站用户tmnt123477发布的违法信息,且其与现本站用户 @[已注销] 都曾持有过我们的Microsoft 365账号,后者账号删除时间晚于骚扰发生的时间。
此事在一定时间内并未上升为更高的矛盾,直到前本站用户James-Li申请删除其账号之后。
0x02 QJY论坛泄愤,James-Li图谋不轨
这一节所包含的事件不能直接证明二者与骚扰者有关,但可从这里看出二者有将wvb视为敌人的动机。
在James-Li单方面称我们“置其生死于不顾”,实则在未给出任何佐证材料时进行栽赃而退出wvb自立门户后, @[已注销] 妄图通过他人账号来达到歪曲事实,夺取舆论的目的。
在二者自立门户后不久,他们便借James-Li之前得到的职权所获得的AWS IAM信息盗用了我站S3储存,通过向其大量上传文件来增加我们的资金负担。
此后,James-Li在Flarum中文QQ交流群公然通过在情报社区使用匿名身份发表的评论对wvb的安全措施进行诽谤,其实质是暗示群内其他人员可借此机会对我站进行入侵。但实际上,该情报社区没有获取到本站源站的任何信息,更证明了其行为的本质是污名化wvb。
在4月19日时, @[已注销] 的账号被盗用,直接声明自己盗取 @一个技术宅 要求禁止转载的资源。对比此时James-Li在其站点上的发帖IP,我们发现在对方站点上James-Li和 @[已注销] 的IP与我站 @[已注销] 彼时发帖IP的地理位置吻合,同时对方站点上James-Li与 @[已注销] 的发帖IP为同一IP。相对地,两天前 @[已注销] 的IP地理位置显示其在距离前者数百公里处。
经查证,在这一时间点上,没有主机商售卖了北京海淀的服务器;同时,James-Li在其站点上登录 @[已注销] 的账号,也已充分说明了其图谋不轨,不尊重原作者以及阳奉阴违的态度。
James-Li一直声称其站点“受到攻击”,但并未在与我们交涉的过程中给出任何相关的日志, @[已注销] 也一样。在这段时间中,他们屏蔽了非中国大陆IP的访问,在最后一段时间内甚至只能在访问其站点时收到Cloudflare报出的524错误。这一状态究竟是被打了,还是试图掩盖事实真相呢?我想各位能够得出自己的判断。
这并非重点——在决定关站后,我们访问其站点得到的第一条消息是:
看到这里,我觉得各位都有必要梳理一下逻辑。
我们所知的此人的特征有哪些呢?
- 加入了wvb“议会”讨论群;
- 在wvb Microsoft 365中拥有账号;
- 拥有技术力隐藏自己身份,但没有更高的技术力对我们发起攻击;
- 对wvb有不满与恶意,且并没有实质性诉求。
那么依据这些条件得出潜在人选可能是:
- James-Li
- @[已注销]
- @[已注销]
第三位可以被排除,因为其曾经为James-Li站点的管理员,并向我们提供了对方发帖IP和许多宝贵的聊天记录。
@[已注销] 在与我们交涉时一直声称James-Li没有其自己创建的站点的SSH权限,James-Li声称其SSH权限在某王姓天使投资人手中。我们挨个来排除这几种说法的真实性:
- 此天使投资人作为一个有成熟三观的成年人,使用如此粗俗的语言并直接指出 @[已注销] 彼时压根没建立的站点的名称的可能性实在太小;
- 截至发送这篇贴文时, @[已注销] 都没有给出直接证明SSH权限已被移交的相关聊天记录,更不必提受到攻击的证据。
这个站点仅仅在公共互联网上存在了几个小时。事后,James-Li的态度也耐人寻味:
截至此,James-Li和 @[已注销] 的敌对态度毕露无遗。二人通过明面和暗地中的低劣手段试图污名化我们的名声,目的也仅仅如此。
这算是我们跟踪调查的意外收获。不过...究竟是谁在暗中骚扰我们?
让我们把目光转向更加不为人知的地方。
0x03 真理愈辩愈明,GitHub上的人设崩坏
实际上在之前,骚扰者便在GitHub上创立了fxxkwvb/evil-wvb这一repo。但真正引起我们重视的是下面四个新建的repo:
以及 @綾瀬桃桃 的anti-evil-sb的一个反应迅速的PR。
在第四个repo中,其中数个issue的记录说明了不少问题。在其中,此人直接泄露了 @[已注销] 的一个完整的手机号,却用一个不存在的手机号替代了问及其真实身份的手机号。值得注意的是, @[已注销] 声称此手机号已被泄露,但提到的泄露名单中并不包含James-Li。
此外,此人在我们与其交涉时,很快提到“报警”。老实说,这点跨省人事纠纷警察会不会管我都打个问号,一般人兴许根本不会为了这点根本没有泄露个人信息的骚扰报警。
而在我们与此人交涉完毕后,此人迅速创建了一个新的repo。
fxxkwvb/SB-YY44
在没有更多线索的情况下猜到对方的具体身份,可见此人身份并不一般。
不知是不是巧合,James-Li对待此事的态度也十分微妙:
此时证据仍然是弱项关,但在前天,此人开始了新一轮的群成员群发:
需要注意的是这一Gmail账户并非 @[已注销] 所有,仍然属于骚扰者。
更大的“巧合”还在后面。在我们向James-Li和 @[已注销] 提供了相关信息后,很快地,此人单独向 @[已注销] 发了一封邮件:
那么,骚扰者到底是谁,我想各位已经能够自行判断了。
0x04 尾声
我们最终给出如下可能性:
- James-Li与 @[已注销] 为此次事件的主谋或共犯,主导或协助了本次骚扰事件;
- 本次骚扰事件的主谋或共犯为James-Li的亲密线下关系,长期掌握了James-Li的互联网账号,并深刻明白James-Li的说话或行事方式。
我希望在公开场合重申一下我们的诉求:我们希望骚扰者停止对wvb的骚扰,同时希望James-Li和 @[已注销] 承认本贴0x02节提到的相应行为是错误的,并保证停止对wvb的污名化行为。这无关骚扰者的身份到底如何,但事关我站用户人格的事,我们必须挺身去做。
那么,对方的态度究竟是什么呢?
总之,世事易变,匪石弗转。
蜗居于一隅,拿着遮羞布苟活的人
但那块布,终究被人扯下
善与恶往往只隔一线
明辨是非,方为贵