V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
47thOa
V2EX  ›  问与答

咨询广大网友一个问题。

  •  
  •   47thOa · 2022-10-07 23:16:34 +08:00 · 1624 次点击
    这是一个创建于 777 天前的主题,其中的信息可能已经有所发展或是发生改变。

    咨询广大网友一个问题。 A 在内网使用 B 的账号访问某业务,被日志日录到,但是 A 不承认是自己干的。目前日志只有访问 UA 头和 A 电脑的 Mac 地址,但是日志记录的 Mac 地址经过转换已经不是 A 电脑的 Mac 地址。 有没有一些取证工具或者好的想法啊,求助求助。

    IvanLi127
        1
    IvanLi127  
       2022-10-08 00:26:59 +08:00 via Android
    记录到 MAC 地址没啥用的感觉,而且还对不上。。更没用了。。。。你咋能推断出是 A 用 B 的账号?
    ScotGu
        2
    ScotGu  
       2022-10-08 00:48:56 +08:00
    >目前日志只有访问 UA 头和 A 电脑的 Mac 地址
    >然后变成日志记录的 Mac 地址经过转换已经不是 A 电脑的 Mac 地址

    那么记录的 mac 到底是不是 A 电脑的 MAC ?
    凭什么确定就是 A 登陆了 B 的账号呢?石锤在哪?
    dot
        3
    dot  
       2022-10-08 00:56:52 +08:00 via Android
    记录了机器名么?我们的机器加域的,会上报机器名和 IP……
    Maxwe11
        4
    Maxwe11  
       2022-10-08 04:43:10 +08:00
    如果业务系统没有做额外的记录,可以看看交换机那边的日志还有没有,一般企业用的交换机日志信息还是比较全的,能访问而且还没有被覆盖的话,去那里面找找。
    47thOa
        5
    47thOa  
    OP
       2022-10-08 08:32:36 +08:00
    @IvanLi127 B 账号是领导账号,而且 A 和 B 电脑的 IP 不同,B 账号根本没有登录记录
    47thOa
        6
    47thOa  
    OP
       2022-10-08 08:34:07 +08:00
    @ScotGu 日志记录的 mac 地址经过各种转换已经是网络设备的 mac 地址,如果记录是 A 电脑的 mac 地址就能实锤是 A 登录。目前就是想办法来实锤是 A 登录 B 账号,但 A 不承认。
    47thOa
        7
    47thOa  
    OP
       2022-10-08 08:35:30 +08:00
    @dot 机器名没有记录,日志只有 A 的 IP ,经过转换的 Mac 地址,A 的 UA 头
    47thOa
        8
    47thOa  
    OP
       2022-10-08 08:39:32 +08:00
    @Maxwe11 这确实是个办法,不过是异地办公,不知道那边的交换机有没有记录什么信息
    shakoon
        9
    shakoon  
       2022-10-08 08:48:37 +08:00
    ip 是固定分配的还是 dhcp 分配的?全公司所有电脑配置都一样吗? ip 地址+ua 里浏览器版本、系统版本什么的,还不能确定是谁吗。这种事干了肯定不承认的,不管你拿出什么
    paramagnetic
        10
    paramagnetic  
       2022-10-08 09:38:48 +08:00
    如果事情特别重大,赶紧查封终端是正经,当然如果电脑不是公司的就基本寄了……
    47thOa
        11
    47thOa  
    OP
       2022-10-08 10:58:22 +08:00
    @shakoon 固定分配的 IP ,确定是 A ,但不承认就要想办法实锤
    47thOa
        12
    47thOa  
    OP
       2022-10-08 11:00:42 +08:00
    @paramagnetic A 说可能是其他同事修改 IP 为 A 电脑的,也不是没有可能,或者 A 使用非公司设备就更没得查了
    IvanLi127
        13
    IvanLi127  
       2022-10-08 13:25:04 +08:00 via Android
    op 是通过源 IP 确定是 A 的电脑访问的?如果在业务系统上看源 MAC 地址,应该看不到什么。得想办法查到整个链路的日志,如果日志都在,从你现在看到日志的系统用 IP 倒推到交换机的日志,再从交换机的日志里把 MAC 地址提出来就成了。

    不过这个 B 领导。。。。泄露账号是不是先背个锅。。。。
    66beta
        14
    66beta  
       2022-10-08 13:41:39 +08:00
    我估计是 B 领导让 A 帮忙办个事,你们较真查清楚了的话,是打算两个人都开除?
    9136347
        15
    9136347  
       2022-10-08 13:53:52 +08:00
    报警吧。
    owltacklejaguar
        16
    owltacklejaguar  
       2022-10-08 15:44:51 +08:00
    @IvanLi127 对,今天按照这个思路查了下,不过下面网络设备的日志没开,什么都没记录到。离大谱。。
    owltacklejaguar
        17
    owltacklejaguar  
       2022-10-08 15:47:28 +08:00
    @66beta 如果我是 B 领导肯定会叫人来我的电脑前帮忙操作什么什么东西的,开除倒不至于,只是想实锤
    owltacklejaguar
        18
    owltacklejaguar  
       2022-10-08 15:47:48 +08:00
    @9136347 大可不必
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1051 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:12 · PVG 03:12 · LAX 11:12 · JFK 14:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.