案情回顾

（一）游戏服务器突遭黑客攻击，瞬间被打入黑洞

2014年11月2日中午，捷讯云公司陆续接到北京有乐互快公司、北京无忧通讯公司等多家单位反映捷讯云服务器无法正常访问（以下简称捷讯云公司一案）。捷讯云公司的负责人员立即联系公司在深圳的安全团队，技术人员通过审查发现多台服务器在向外做大量的DDoS攻击（Distributed Denial of Service，分布式拒绝服务攻击），导致公司的网络有大量向外发送的数据包，超过了网络可以负荷的限度，致使捷讯云服务器瘫痪100分钟。

无独有偶，海浪公司所经营的手机游戏在2017年7月4日同样遭受到黑客攻击，使得服务器进入黑洞状态（以下简称海浪公司一案）。案发当日22时40分，该公司的一组服务器突然遭到了DDoS攻击，流量在几秒之内达到60G，服务器瞬间进入黑洞状态，访问上述IP的用户自动访问到大众云公司的高防IP，同时黑客继续对海浪公司的服务器进行攻击，峰值达到413.50G，超出高防IP的防御峰值300G，高防IP也进入黑洞状态。

2017年7月22日18时40分，海浪公司的9组服务器又陆续遭到DDoS攻击，先后进入黑洞状态。黑客的持续攻击直到同年8月1日，造成该公司正常业务中断长达10天。

（二）植入木马程序，多台电脑变“肉鸡”

在案件侦办过程中，公安机关办案民警和受害公司的技术人员通过查看服务器日志等资料发现，黑客利用租用或购买的VPS服务器作为主控服务器，在使用自己的电脑登录服务器后，利用SYN扫描器扫描出互联网内存在WDCP漏洞的计算机信息系统，并使用“Mysql.exe”文件取得上述计算机信息系统的控制权。

接下来，黑客再利用其租用的VPS服务器内“3600集训”软件生成名为“ip32.rar”的木马文件，再利用SSH连接器将该木马上传至其控制的计算机信息系统上，从而彻底将他人的计算机信息系统变成任由黑客摆布的“肉鸡”。

经侦查发现，在捷讯云公司一案，被黑客控制的“肉鸡”有近百台，而在海浪公司一案中发现被黑客所使用的“肉鸡”数量竟然达到1100余台。

（三）追根溯源，查找“肉鸡”背后的黑客

在海浪公司一案中，公安机关依法调取了服务器镜像文件并委托北京信诚知识产权司法鉴定中心进行分析，该鉴定中心出具鉴定意见书，结合五元组日志（源IP地址、源端口、目的IP地址、目的端口和传输层协议这五个量组成的一个集合）等材料。通过海浪公司被攻击的IP地址逆向查找到一台“肉鸡”IP地址，进而对所谓的“肉鸡”进行镜像文件分析显示黑客的中控域名，通过锁定“肉鸡”的中控域名和IP，远程操控的“肉鸡”黑客逐渐浮出水面，而本案的犯罪嫌疑人谭建（化名）也即被公安机关锁定。

在捷讯云公司一案中，公安机关通过网侦手段将李民（化名）列为怀疑对象。后民警对李民家中起获的台式计算机进行勘验，在该计算机中内置第2块硬盘内提取出QQ聊天记录及名称为“Mysq1.exe”的软件1个。公安机关委托北京诚信司法鉴定所对捷讯云公司服务器中提取的服务器镜像文件2个进行分析，提取出名称为“生成器.exe”等的软件5个，经鉴定，这5个软件均为恶意攻击程序。

公安机关通过分析证实了李民电脑中的木马程序与主控端和被控端的程序相一致，并且李民家中的电脑与其所使用的淮北服务器、捷讯云服务器中提取的木马被控端完全一致，进而确定李民即是捷讯云公司一案的作案人。

（四）同为黑客，作案目的却各不相同

在海浪公司一案中，根据谭建的供述，其平时一般控制的电脑有2000多台，最多时有3000台左右，控制“肉鸡”后自己并不使用而是作为租赁物将“控制权限”出租给其他人，包括本案攻击海浪公司服务器的“肉鸡”也是其租给别人使用的。通过出租“肉鸡”，谭建称自己大概赚了4万元。

如果谭建只是控制“肉鸡”而没有使用“肉鸡”，则背后攻击海浪公司服务器的还另有其人。果不其然，根据谭建的供述，公安机关将与其一直有密切合作关系网名为“黑猫网络安全”的人抓获，至此，海浪公司一案另一名犯罪嫌疑人王阳（化名）到案。

民警对王阳进行了讯问，王阳称其实施犯罪是因为其开发了棋牌类的手游，为了攻击其他同类型手游的服务器，造成对方无法登录，从而让其手游获得竞争优势。海浪公司所经营的手机游戏由于与王阳所称的手游存在竞争关系，则自然成为王阳的“眼中钉”。

在海浪公司一案中，谭建饲养“肉鸡”、王阳使用“肉鸡”，有明显分工，但捷讯云公司一案中的李民则既是“肉鸡”的饲养者又是“肉鸡”的使用者。更让人匪夷所思的是，李民利用“肉鸡”发起攻击，既不是为了谋取经济利益，也不是为了打击同行，竟然仅仅是为了满足个人的私欲，炫耀自己的“厉害”，真正是“损人而不利己”。