咨询广大网友一个问题。 A 在内网使用 B 的账号访问某业务,被日志日录到,但是 A 不承认是自己干的。目前日志只有访问 UA 头和 A 电脑的 Mac 地址,但是日志记录的 Mac 地址经过转换已经不是 A 电脑的 Mac 地址。 有没有一些取证工具或者好的想法啊,求助求助。
1
IvanLi127 2022-10-08 00:26:59 +08:00 via Android
记录到 MAC 地址没啥用的感觉,而且还对不上。。更没用了。。。。你咋能推断出是 A 用 B 的账号?
|
2
ScotGu 2022-10-08 00:48:56 +08:00
>目前日志只有访问 UA 头和 A 电脑的 Mac 地址
>然后变成日志记录的 Mac 地址经过转换已经不是 A 电脑的 Mac 地址 那么记录的 mac 到底是不是 A 电脑的 MAC ? 凭什么确定就是 A 登陆了 B 的账号呢?石锤在哪? |
3
dot 2022-10-08 00:56:52 +08:00 via Android
记录了机器名么?我们的机器加域的,会上报机器名和 IP……
|
4
Maxwe11 2022-10-08 04:43:10 +08:00
如果业务系统没有做额外的记录,可以看看交换机那边的日志还有没有,一般企业用的交换机日志信息还是比较全的,能访问而且还没有被覆盖的话,去那里面找找。
|
6
47thOa OP @ScotGu 日志记录的 mac 地址经过各种转换已经是网络设备的 mac 地址,如果记录是 A 电脑的 mac 地址就能实锤是 A 登录。目前就是想办法来实锤是 A 登录 B 账号,但 A 不承认。
|
9
shakoon 2022-10-08 08:48:37 +08:00
ip 是固定分配的还是 dhcp 分配的?全公司所有电脑配置都一样吗? ip 地址+ua 里浏览器版本、系统版本什么的,还不能确定是谁吗。这种事干了肯定不承认的,不管你拿出什么
|
10
paramagnetic 2022-10-08 09:38:48 +08:00
如果事情特别重大,赶紧查封终端是正经,当然如果电脑不是公司的就基本寄了……
|
12
47thOa OP @paramagnetic A 说可能是其他同事修改 IP 为 A 电脑的,也不是没有可能,或者 A 使用非公司设备就更没得查了
|
13
IvanLi127 2022-10-08 13:25:04 +08:00 via Android
op 是通过源 IP 确定是 A 的电脑访问的?如果在业务系统上看源 MAC 地址,应该看不到什么。得想办法查到整个链路的日志,如果日志都在,从你现在看到日志的系统用 IP 倒推到交换机的日志,再从交换机的日志里把 MAC 地址提出来就成了。
不过这个 B 领导。。。。泄露账号是不是先背个锅。。。。 |
14
66beta 2022-10-08 13:41:39 +08:00
我估计是 B 领导让 A 帮忙办个事,你们较真查清楚了的话,是打算两个人都开除?
|
15
9136347 2022-10-08 13:53:52 +08:00
报警吧。
|
16
owltacklejaguar 2022-10-08 15:44:51 +08:00
@IvanLi127 对,今天按照这个思路查了下,不过下面网络设备的日志没开,什么都没记录到。离大谱。。
|
17
owltacklejaguar 2022-10-08 15:47:28 +08:00
@66beta 如果我是 B 领导肯定会叫人来我的电脑前帮忙操作什么什么东西的,开除倒不至于,只是想实锤
|
18
owltacklejaguar 2022-10-08 15:47:48 +08:00
@9136347 大可不必
|