刘某某、金某破坏计算机信息系统一审刑事判决书
【文书来源】 中国裁判文书网
审理法院: 杭州市余杭区人民法院
案 号: (2018)浙0110刑初266号
案件类型: 刑事
案 由: 破坏计算机信息系统罪
裁判日期: 2018-06-19
法 官: 李敏
审理程序: 一审
一审请求情况
杭州市余杭区人民检察院指控:2017年1、2月,被告人刘某某通过租用境外云服务器、购买执行攻击指令的服务器、攻击流量等,架设了网站sboot.org,并制作了安卓手机端应用“Sbooter”。被告人刘某某为牟利,在明知会造成他人服务器被攻击的情况下,仍在QQ群中推广该网站,开放网站的注册、充值系统,供他人使用该网站和应用进行DDOS攻击,并根据充值金额大小可发起不同次数的攻击。
1、2017年3、4月,王某2(另案处理)在被告人刘某某的网站注册账号“jy930325”,并下载“Sbooter”应用安装于手机,分两次攻击浙江寻亿网络科技有限公司“贝贝直播”平台服务器,导致该平台服务器在2017年4月5日3:29:25至3:59:26、4:13:38至4:43:39,4月6日2:55:44至3:25:47共三个时间段累计1.5小时不能正常运行,“贝贝直播”平台用户无法登陆、消费。王某2实施攻击时,“贝贝直播”平台注册用户数为492321人。
2、2017年5月,被告人金某在被告人刘某某的网站注册账号“yaodi12345”,分三次攻击杭州某信息科技有限公司的服务器,造成该公司服务器在2017年5月25日10:57:35至13:03:01期间不能正常运行2小时以上,该公司的客户无法完成支付。被告人金某实施攻击时,某公司用户数量为20163。
3、2017年4月,金某2(另案处理)在被告人刘某某的网站注册账号“jc98×××78”,于4月30日、5月2日多次攻击重庆某科技有限公司,造成该公司服务器在2017年4月30日13:24:30至13:59:31、2017年5月2日10:07:04至11:25:59、5月2日11:49:50至12:29:50累计超过2小时不能正常运行。金某2实施攻击时,某公司用户数量为10万以上。
4、2017年4、5月期间,赵某(另案处理)在被告人刘某某的网站注册账号“aspasp”,后利用该网站及手机应用“sbooter”攻击阿某云服务器共计13台。造成上述服务器不能正常运行。
据以指控的证据有书证;证人证言;远程勘验检查笔录、电子证物检查笔录等;光盘数据;被告人的供述和辩解等。公诉机关认为,被告人刘某某、金某的行为均已构成破坏计算机信息系统罪,其中被告人刘某某后果特别严重,被告人金某后果严重,提请本院依照《中华人民共和国刑法》第二百八十六条第一款之规定惩处。
一审答辩情况
被告人刘某某对公诉机关的指控无异议。
被告人刘某某的辩护人提出,1)被告人刘某某的行为应构成提供侵入、非法控制计算机信息系统程序、工具罪,且系后果严重,法定刑为三年以下有期徒刑或者拘役;2)被告人刘某某具有坦白情节,且当庭自愿认罪,又系初犯、偶犯。请求对被告人刘某某从轻处罚,并适用缓刑。
被告人金某对公诉机关的指控无异议。
被告人金某的辩护人提出,被告人金某归案后如实供述罪行,且当庭自愿认罪,并获得了被害公司的谅解,主观恶性不大,又系初犯,请求对被告人金某从轻处罚,并适用缓刑。
本院查明
经审理查明:2017年1、2月,被告人刘某某通过租用境外云服务器、购买执行攻击指令的服务器、攻击流量等,架设了网站sboot.org,并制作了安卓手机端应用“Sbooter”。被告人刘某某为牟利,在明知其提供的网站和应用会造成他人服务器被流量攻击的情况下,仍在QQ群中推广该网站,开放网站的注册、充值系统,供他人使用该网站和应用进行DDOS攻击,并根据充值金额大小发起不同次数的攻击,违法所得共计人民币32000余元。
1、2017年3、4月,王某2(已判刑)在被告人刘某某的网站sboot.org注册账号“jy930325”,下载“Sbooter”应用安装于手机,并付费购买攻击服务。后王某2为获取浙江某网络科技有限公司“贝贝直播”平台靓号等VIP服务权利,于2017年4月5日4时许、4月6日3时许,两次使用安装于手机中的“Sbooter”应用对“贝贝直播”平台服务器进行网络流量攻击,导致“贝贝直播”平台服务器在2017年4月5日3时29分25秒至3时59分26秒、4时13分38秒至4时43分39秒,4月6日2时55分44秒至3时25分47秒三个时间段内不能正常运行,“贝贝直播”平台用户无法登陆、消费,累计时长1.5个小时。经查,截止2017年4月5日,“贝贝直播”平台注册用户数(无重复数据)为492321。
2、被告人金某案发前供职的杭州某科技有限公司(以下简称某公司)与被害单位杭州某技术有限公司(以下简称某公司)均从事移动支付业务,存在业务竞争关系。2017年5月,被告人金某在被告人刘某某的网站sboot.org注册账号“yaodi12345”,并付费购买攻击服务,后三次使用“Sbooter”应用对某公司的服务器进行网络流量攻击,造成该公司服务器在2017年5月25日10:57:35至13:03:01期间不能正常运行2小时以上,该公司的客户无法完成支付。被告人金某实施攻击时,某公司用户数量为20163。案发后,被告人金某获得被害单位杭州某技术有限公司的谅解。
3、2017年4月,金某2(另案处理)在被告人刘某某的网站sboot.org注册账号“jc98×××78”,并付费购买攻击服务,于4月30日、5月2日多次攻击重庆某科技有限公司(以下简称麦络公司),造成该公司服务器在2017年4月30日13:24:30至13:59:31、2017年5月2日10:07:04至11:25:59、5月2日11:49:50至12:29:50累计超过2小时不能正常运行。金某2实施攻击时,某公司用户数量为10万以上。
4、2017年4、5月期间,赵某(另案处理)在被告人刘某某的网站sboot.org注册账号“aspasp”,并下载“Sbooter”应用安装于手机,付费购买攻击服务,后利用该网站及手机应用“sbooter”攻击阿某云服务器共计13台,造成上述服务器不能正常运行。
另查明,案发后,公安机关自被告人刘某某处扣押作案工具黑色华为手机一部、电脑硬盘一个,现均扣押于杭州市公安局余杭区分局。
证明以上事实并经庭审质证的证据有:
1、证人崔某的证言、接受证据清单、IP地址清单、损失清单、贝贝直播服务器遭攻击数据清单、聊天记录、用户投诉情况说明、营业执照复印件,证实浙江某网络科技有限公司位于余杭区南苑街道某幢某号,其系该公司负责服务器的技术人员,公司使用的为阿某云服务器,“贝贝直播”平台属于公司文化、娱乐传播范围,平时24小时不间断滚动播放,直播平台服务器的IP地址为106.14.47.225,使用直播平台的客户通过主播消费的话需要花费人民币购买公司的虚拟货币,具体的消费形式就是充值消费,2017年4月5日、6日公司视频直播时发现直播平台服务器遭人为恶意攻击,导致平台不能使用,事发后,公司联系了阿某巴巴集团,阿某技术人员已经提供了部分攻击者的IP;其中,4月5日下午,攻击其公司直播平台服务器的人通过QQ(号码为3360813336)和直播平台客服聊天,对方提出需要直播平台的虚拟货币、靓号以及要求成为直播平台的VIP会员(客户在直播平台上需消费人民币10万元以上才能拥有一个靓号),通过公司阿某云账号登陆到管理后台,查看“贝贝直播”平台所在阿某云服务器的安全事件记录,其提供的两张截图显示了两次被攻击的异常流量数据以及阿某云后台根据异常流量所做的自动操作,其中“清洗”意思是对较小的异常流量的访问请求予以拒绝,以保障正常流量的访问请求不受影响,“黑洞”的意思是异常访问流量过大,超过了系统设置的流量阈值时,阿某云后台会拒绝该服务器所有的访问请求(包括正常流量和异常流量),在被设置“黑洞”期间服务器就处于完全瘫痪状态,不能响应任何请求;记录显示2017年4月5日3时29分24秒至3时59分25秒时间段阿某云后台做了清洗了异常流量的操作,因异常流量骤增,2017年4月5日3时29分24秒至3时59分26秒时间段阿某云后台度服务器做了置“黑洞”的操作,2017年4月5日3时29分26秒至5时13分39秒时间段,阿某云做了清洗异常流量的操作,2017年4月5日4时13分38秒至4时43分39秒阿某云后台对服务器做了置“黑洞”的操作,因在4月5日的时候,其所在公司服务器的“黑洞”阈值只有2G,异常流量很容易达到阈值触发“黑洞”,来不及“清洗”就被置“黑洞”,记录显示2017年4月6日2时55分44秒至3时55分47秒时间段,阿某云后台进行了清洗了异常流量的操作,因异常流量骤增,2017年4月6日2时55分46秒至3时25分47秒阿某云后台对服务器做了置“黑洞”的操作,两个被置“黑洞”操作导致服务器处于瘫痪状态的时间加起来共有90分钟,以及案发时间段,收到贝贝直播平台用户张某、主播邓徽、客服蓝贤磊、用户葛某投诉等事实;
2、证人史某的证言,证实其系浙江某网络科技有限公司“贝贝直播”平台客服,平时负责对平台进行巡查、客户申请的审核、接听投诉电话等,2017年4月6日凌晨3时许,“贝贝直播”平台受到黑客攻击,其看到平台的直播视频均是黑屏,然后断线,按正常情况,该时间段有十几个直播房间开着,后来直播房间的主播中有打客服电话177××××4866向其反映不能上直播的情况,另外还有客户也电话客服称不能登录直播平台,该情况持续了一个小时左右,当天和其一起值班的蓝贤磊称5号凌晨在值班时平台也曾被攻击了一次,对方(QQ为35×××43)还与客服聊天,告知客服是对方攻击平台,并以此要挟客服提供一个VIP靓号,其看到过该聊天记录,听蓝贤磊称这次被攻击导致平台持续半个小时不能正常登陆,以及直播平台有几万客户,具体数据公司后台有记录等事实;
3、证人袁某的证言,证实其系浙江某网络科技有限公司技术总监,“贝贝直播”平台2017年1月初正式上线,8月停止一切开发维护,10月份的时候因为租用的阿某云服务器到期被释放后,就彻底不存在,期间,4月份时直播平台被攻击过,当时是崔某报案,根据当时的统计,每个月的登陆用户数在15至20万之间,公安机关现场勘验时系统显示的49万多个会员中,活跃用户占40%左右,用户可以使用手机号码、QQ号码、微信、微博等免费注册平台账号,注册成功后,如果想要一些特效或者送主播礼物,则需要对账号进行充值,报案材料中提到2017年4月5日、4月6日受影响的用户分别是2000人左右、5000人左右,其中2017年4月5日受影响的2000人就是当时本来有2000个左右的用户在线,在服务器遭到攻击时突然掉线,4月6日受影响的5000人左右就是当时本来有5000个左右的用户在线,在服务器遭到攻击时突然掉线,这个数字是阿某云的监控上面显示的,且是最保守的统计,因为当时服务器几近瘫痪,还有一些用户想登录但是无法登录,该情况是无法统计的,访问连接数就是在攻击之前访问、连接“贝贝直播”服务器的网络请求,也就是在线的用户数,以及2017年10月份服务器到期,阿某云服务器到期后会自动被释放,故现在已经不能登录服务器去查看相关数据等事实;
4、证人张某的证言,证实其系“贝贝直播”会员,于2017年2月注册,账号为23×××54,昵称为“贝龙哥家族张帅帅”,绑定的是其136××××2645的手机号,2017年4月初,其曾连续两天无法登陆“贝贝直播”会员账号,关闭再重新打开后关注人数等数据也不正常,无法进行操作,其中一次时凌晨2、3时许,其电话询问“贝贝直播”客服,对方称是系统问题,后来也有其他人说无法登陆,第三天“贝贝直播”平台才恢复的事实;
5、证人葛某的证言,证实其系“贝贝直播”平台玩家,2017年初注册了平台的登陆账号,平时会在晚上登陆平台参与互动,2017年4月5日凌晨2、3时许,其登陆“贝贝直播”平台的时候发现网络很卡,退出后就无法登陆,其操作了三、四分钟,均无法登陆,后其将该情况向客服反映,客服留下其登陆的贝贝ID,并让其次日再登陆,但第二天其未登陆“贝贝直播”平台,以及其平常登陆时,平台里有很多直播房间,其进入房间看到一般有一百左右的人,但是人数不固定,多的时候一个房间有二三百人等事实;
6、证人周某的证言,证实其系阿某巴巴集团员工,流量清洗和黑洞都是阿某云服务器的防护操作,系统按照阿某云服务器的配置,设置了流量清洗和黑洞的阈值(流量达到某个值就会触发清洗或者黑洞,这个值就是阈值),一旦访问流量达到阈值(根据服务器的配置、价格和所处区域不同,黑洞阈值不同,阿某云ESC\SLB\VPC的产品阈值从500M至5G不等),就会启动相应的操作,其中流量清洗的阈值用户可以自己设置,只要流量达到阈值就会启动流量清洗,并且在清洗过程中不断检测流量,直到流量达到正常为止;黑洞的阈值是根据阿某云服务器的配置或者价格由系统设定的,只要流量达到阈值就会触发黑洞,系统后台将要设置黑洞的服务器IP发送给运营商,运营商就会将该服务器的网络通信阻断,即“断网”,流量清洗和黑洞是两个不同的操作,不存在依赖关系,互不影响,黑洞期间流量清洗也有可能继续执行,流量清洗有可能导致正常流量被清洗,有可能会影响服务器的功能,黑洞就是服务器网络通信被阻断,完全不能访问,流量清洗的持续时间是设定一个初值,如果时间过了流量仍然大于阈值,清洗还会继续,黑洞的持续时间视攻击的情况而定,因为流量攻击一般会持续一段时间,故阿某云服务器的黑洞设置的是从30分钟至24小时不等,且黑洞期间不支持解封,一次黑洞结束后,只要流量小于黑洞阈值,会自动解封,如果流量还是大于阈值,再次置黑洞,这是人工无法干预的,发起攻击只是一个行为。流量攻击都是通过肉机或者反射进行的,所以发起攻击的一个行为必然导致被攻击服务器在一个时间段内持续遭到流量攻击,以及bps即bytepersecond(字节/秒),pps即packetpersecond(数据包/秒),都是用来表示流量的单位等事实;
7、证人原某的证言、中国工商银行网上银行电子回单、协议、聊天记录、安全日志、后台记录、用户截图,证实其系杭州微盘信息技术有限公司的总经理,其公司的服务器IP为115.159.42.237,租用的是腾讯云服务器,该服务器共有两个网站,分别是www.wx0571.com和www.payweipan.com,该两个网站的内容和功能均是一样的,即为用户提供不同场景的支付码,其公司与支付宝、微信支付、QQ钱包、京东钱包、百度钱包、银联扫码等支付服务商均有合作协议,用户使用上述支付方式时会生成对应的二维码,另外,服务器上还部署了一个收银系统为商户提供服务,该网站有3万多的用户数量,该情况数据库内有记录,从2017年3月29日开始,该服务器一直受到攻击,最近一次是2017年5月25日、26日,攻击当天腾讯发的短信提示其均予以保存,另外服务器的安全日志也有记录,服务器被攻击后,客户反馈无法收款,说明收银系统已经瘫痪,不能正常运行,这种情况持续了约2个小时,为使商户能正常使用,其公司不得不购买腾讯云高防服务包并支付相关费用,被攻击后商户弃用其公司产品并要求退还服务费用,以及其向公安机关提交了5月25日、26日被攻击时的服务器安全日志、客户投诉记录等相关记录的事实;
8、证人冯某的证言,证实其系杭州某科技有限公司总经理,被告人金某之前是其公司网络推广部的员工,2017年6月初已经离职,其公司主要进行移动支付业务,即为商户提供POS机、二维码等支付手段,上述服务依托互联网实现,其公司平台的应用程序和数据都是保存在租用的是阿某云服务器,该服务器在2017年2、3月是曾受过攻击,公司服务器被攻击后,管理层商议决定购买高防服务器,并加强网路安全防护,商议时金某作为普通员工并不在场,微盘公司是其公司的同行,也是做移动支付服务,金某攻击微盘公司其并不知情,以及金某离职后,在工作期间使用的电脑已经重装操作系统给其他员工使用的事实;
9、证人金某1的证言、接受证据清单、营业执照复印件、网页截屏,证实其系温州某网络有限公司法定代表人,公司经营范围是网页设计,即为客户做微信公众号设计开发等,其公司使用的是阿某云服务器,IP地址为120.26.88.200(域名为baby2014.zuiqiang.cc),主要用于存放客户微信公众号的页面内容数据,其公司服务器里有上百个客户的微信公众号第三方数据内容,这些客户微信公众号粉丝数(即被关注数)估计达几十万个,2017年5月18日至5月21日期间,其公司服务器遭受了2次流量攻击,被攻击后,其的网站打不开了,服务器里的内容也打不开,被攻击期间,其收到阿某云的短信提示,一次是2017年5月18日19时26分,短信称其的服务器收到流量攻击已超过云盾防护峰值,服务器所有访问被屏蔽,网站无法打开,5月18日19时56分发来短信称恢复正常;另一次被攻击是在5月21日,恢复的短信是5月21日12时10分许收到,其已经提供了相关短信息的截屏,被攻击时,其公司服务器内所有的客户的微信公众号粉丝总量应该有几十万,如其中一个叫“川西第一漂流”的微信公众号,被关注数有18000余人,其公司服务器被攻击时,该18000余人均不能正常浏览该微信公众号的相关内容的事实;
10、证人吴某的证言、营业执照复印件、网页截图,证实其系重庆某科技有限公司的产品总监,其公司主要经营计算机硬件的研发、销售,计算机系统集成、网站建设等,其公司使用的为阿某云服务器,IP地址为119.23.45.255(域名wx.cqmellow.com),主要用于公司存放客户微信公众号的页面内容数据,该IP的网站注册用户有9个,每位用户的粉丝数量其不清楚,加起来至少有10万个,其公司的微信公众号“重庆麦络科技”(微信号×××)也放在该服务器,粉丝有83个;2017年5月初,其公司的服务器遭受过攻击,阿某云发邮件(邮箱monitor@monitor.aliyun.com,其接收阿某云的邮箱账号是471×××@qq.com)提示网站服务器(119.23.45.255)有可能遭受了攻击,其可以提供上述邮件给办案机关,由于其公司服务器之前没有安装防火墙,故无法提供具体相关日志,遭受攻击后,其联系阿某云技术人员在后台进行处理,2017年5月2日之后就没有再遭受流量攻击,其中2017年4月30日的攻击大约持续了2个小时,5月2日的攻击持续了约2个小时,具体攻击的流量其不清楚,受攻击期间,公司网站无法正常访问,部分微信功能服务无法正常提供,因为微信公众号的粉丝数量是动态的,受攻击时公司服务器中客户公众号的粉丝数量现在无法统计出来,其目前能够提供公众号的粉丝数量是167358个;另外,其提供的邮件显示,阿某云2017年4月30日中午1时59分发邮件给其,提示“您的IP119.23.45.255正在遭受外部流量攻击,已启动清洗服务抵御恶意流量攻击”,当日下午2时29分发邮件提示“您的IP119.23.45.255外部流量攻击已停止,已完成恶意流量清洗服务”;2017年5月2日上午10时07分发邮件提示,“您的IP119.23.45.255正在遭受外部流量攻击,已启动清洗服务抵御恶意流量攻击”,当日上午10时37分发邮件提示“您的IP119.23.45.255外部流量攻击已停止,已完成恶意流量清洗服务”。
11、证人何某的证言,证实其系余赚网络科技公司法人,其公司主要从事软件开发与销售,网址为××,租用的是阿某云服务器,IP地址为120.77.34.223,4月10日左右的几天,其发现公司主页无法登陆,阿某云短信通知称服务器遭受DDOS攻击,每次攻击大概1、2个小时之后网站恢复正常,公司主页上有一个论坛,该论坛需要注册用户,目前注册用户为860人的事实;
12、证人王某1的证言、授某、接受证据清单、阿某云计算有限公司被攻击的服务器IP列表,证实其系阿某巴巴集团公司安全部的工作人员,阿某云计算有限公司是阿某集团下面的子公司,公司内部调查之后发现,2017年6月,阿某云计算有限公司租出去的很多阿某云服务器的IP被人攻击过,经过内部整理,目前有仍在使用的服务器IP中有400余个是之前被攻击过的,还有一些IP因已经变更使用人,系统自动覆盖前面的信息,故之前的租用信息都没有了,租用阿某云服务器的客户发现服务器被攻击后,有些会和公司联系,但因目前DDOS攻击很难溯源,其一般建议客户购买流量大的服务器或者高防的服务器抵御黑客攻击,阿某云服务器根据容量、性能,价格从几十块到几万每月都有,目前阿某云公司有约200多万个客户,付费的客户有70多万,但该数据每天都会变化,阿某云公司占全国市场的37%左右,客户的服务器被攻击后,有些客户会认为是阿某云的服务器保障不好,有些客户就会选择其他公司的服务器,对公司业务造成影响,具体损失无法估计,被攻击过的服务器IP,只要有攻击的时间记录,一般都能很快查到服务器被攻击的异常记录,以及王某1提供的被攻击服务器IP列表中,有温州某网络有限公司IP地址120.26.88.200、余赚网络科技有限公司IP地址120.77.34.223、重庆某科技有限公司IP地址119.23.45.255等事实;
13、同案人员王某2的供述和辩解、手机截图,证实2016年开始,其加了很多关于DDOS攻击的QQ群,2017年3月份,其在一个QQ群中看到昵称为“飞鸟和鱼”的人发了一个做压力测试的网站链接即www.sboot.org,其访问该网站后,页面上有“Sbooter”字样,后其在该网站注册了账号“jy930325”,并在“安卓APP下载”中下载安装了APP“Sbooter”,其通过查看帮助,掌握了通过“Sbooter”实施攻击的操作流程,操作流程就是先打开手机上的“网络速度计”APP,然后运行需要攻击的APP,“网络速度计”中可以看到要攻击APP服务器的IP地址,然后打开“Sbooter”,用账号登陆,在“控制台”中的“四层攻击启动器”或“七层攻击启动器”中输入要攻击的IP地址和端口号(其一般配80端口),就可以发动攻击,发动攻击时需要付费包月的,其共付费三次,网站中有收款的微信二维码和联系QQ号码15×××73,其通过扫码付费,微信转账凭证显示收款方为“RodriguezJohnson”,其将凭证截图发给对方,对方帮其账号充值,其共充值三次,一次是120元包月,每天可以攻击30次,第二次是单次攻击,付费5元,第三次是240元包月,每天可以攻击60次,其在手机上安装了“ping”APP,ping刚攻击过的IP地址,如果不通过或者响应很慢,说明攻击成功,其通过上述方法攻击过两次“贝贝直播”的服务器,一次是2017年4月5日凌晨三、四时许,造成服务器30至40分钟不能正常运行,其使用3306813336的号码与“贝贝直播”客服在QQ上说其攻击了“贝贝直播”服务器,让“贝贝直播”客服给其一个靓号,但对方拒绝,第二次攻击是4月6日凌晨三、四时许,其在操作“Sbooter”时直接点了重新攻击,这次其没有去测试有无攻击成功,其之所以攻击“贝贝直播”平台,就是想要一个靓号,用靓号进每个直播间会有一个进场特效,还会有语音介绍,民警向其出示的21张照片就是其手机上安装的应用及其使用这些应用的情况,www.sboot.org网址在其手机UC浏览器收藏夹内,以及其没有在其手机以外的其他设备上登陆过www.sboot.org网站等事实。
14、同案人员金某2的供述和辩解,证实2017年4月,其在网上了解DDOS攻击,通过搜索加入“Sbooter压力测试二群”,群号码是244606774,群主为“飞鸟和鱼”(QQ号码15×××73),入群后,其知道“飞鸟和鱼”做了sboot.org网站,只要注册会员并充值,支付很少的费用,输入要攻击的网站IP地址,该网站上就能提供DDOS攻击服务;其使用QQ98×××78在该网站注册了“jc98×××78”的会员,先支付了5元钱,输入自己公司的网站IP测试了一下攻击流量,发现该DDOS攻击有10G的流量,后其公司网站被置黑洞,网页无法打开,发现真的能够发起DDOS攻击后,其购买了一个月的会员,一个月内每天能攻击30次,只要在网站输入被攻击服务器的IP地址,后台就会进行DDOS攻击,但是具体如何实现其不知道,其每次输入被攻击的IP地址,十几秒之后攻击就会开始,验证攻击是否成功就是打开被攻击的网站,或者ping一下被攻击的IP,一般攻击阿某云的服务器都会成功,因为阿某云有被置黑洞的功能,攻击超过一定的流量就会切断网络服务,其试过阈值,如果没有开高防IP,超过5G的流量就会被置黑洞,即服务器会断网,网站无法访问;其共攻击过十几个IP,其记得其中有重庆麦络科技有限公司,其发现该公司的微信管理系统好像是盗版,其ping了该公司的网址获得服务器的IP地址,输入sboot网站进行攻击,共攻击了三、四次,攻击之后其验证发现攻击成功,其还攻击过一家叫“说图谱”的公司和一些下载源码的网站,以及其在sboot网站注册的账号都是自己在用,sboot网站的攻击方式有四级攻击即DDOS攻击和七级攻击即CC攻击,但是其只用过DDOS攻击等事实;
15、同案人员赵某的供述和辩解,2016年3、4月份,其使用朋友的身份注册了“某网络科技有限公司”,10月份前后该公司的法人变更为其本人,公司的主要从事微信公众号服务,即帮客户注册、管理公众号、开展推广业务等,公司的官网为“微企微秀”wqwxw.com,2016年12月,其想测试一下该网站的抗压能力,遂在网上搜索压力测试软件,后搜索到sboot.org网站,其使用QQ31×××59注册了“aspasp”的账号,该网站需要通过微信、支付宝或者QQ扫码支付费用后才能使用,其通过微信、支付宝扫码在sboot.org网站每次付费70元,共计支付过300元左右,付费后,进入该网站的攻击页面,输入要攻击的服务器IP地址,再点击发起攻击就可以了;后来其在手机上看到一些微信公众号在做活动,其就进入这些公众号去寻找管理这些公众号的公司官网(这些公司从事的业务和其公司一样),其找到这些公司的官网后,通过ping一下得到网站服务器的IP地址(不关心归属地,也不清楚有多少是阿某云服务器),再将得到的IP地址输到sboot.org网站攻击页面发起攻击,但其没有查看攻击效果,其在发起攻击时使用的多为自己的手机,还使用过电脑,但是电脑在被抓前一个月系统重装过,聊天记录之类的都没有了,从2017年1月至5月,其共攻击过20个左右的网站,其中包括帮助两个QQ好友(一个昵称“骏沃电商”,一个昵称“高贵血迹”)攻击过3个网站,是由对方提供的IP地址或网址,但其没有拿过经济回报;其使用的支付宝账号为315×××@qq.com,是其本人身份注册,微信号是×××,是使用QQ31×××59注册,以及攻击的原理其不是很清楚,只知道是流量攻击,攻击的流量不同,购买攻击服务的价格也不同,其购买的是70元价格的攻击服务等事实;
16、搜查笔录、扣押物品、文件清单及照片,证实民警对被告人刘某某居住的位于重庆市江津区某镇某街某号某楼的租房进行搜查,查获黑色华为手机一部、电脑硬盘一个,中国工商银行卡一张、中国建设银行卡二张、中国邮政银行卡一张,中国银行卡一张、交通银行卡一张及万事达卡一张,并对上述物品予以扣押的事实;
17、电子物证检查工作记录、电子物证检查笔录及光盘,证实2017年5月17日14时30分,民警对王某2使用的一部粉色vivo手机进行勘查,共采集各类手机信息67284条的事实;
18、电子物证检查工作记录、电子物证检查笔录、U盘,证实2017年6月15日8时30分至11时35分,民警对刘某某使用的华为NTS-AL00手机进行检查,共采集各类手机信息111193条,并生成勘验报告电子版的事实;
19、现场勘验工作记录、远程勘验工作记录、光盘,证实2017年5月31日10时10分,民警对浙江某网络科技有限公司“贝贝直播”平台注册用户数进行勘验,点击页面左侧的用户管理,查询截止2017年4月5日,注册用户数(无重复数据)查询结果为492321,进入阿某云管理控制平台,查看“贝贝直播”租用的服务器后台,点选“态势感知-紧急事件”,发现事件日志2条的事实;
20、远程勘验工作记录、截图、光盘,证实2017年5月25日11时50分至12时10分,民警对刘某某使用的IP为213.32.64.7的服务器进行勘验,登陆成功后,找到该服务器中路经“home/ftp/c/ceshi”文件夹,打开发现内有ceshi.sql数据库文件,下载该文件并保存在取证U盘的事实;
21、现场勘验工作记录、远程勘验工作记录、光盘、情况说明,证实2017年5月25日12时10分至16时30分,民警对IP为213.32.64.7的服务器进行勘验,提取服务器中“ftp”文件夹内的“sboot”文件夹内容,将“sboot”文件夹复制到取证盘,保存到“213.32.64.7”文件夹内,以及该工作记录的文件号有误进行说明的事实;
22、电子物证检查工作记录、截图及光盘,证实2017年6月5日11时30分至15时20分,民警对数据库文件ceshi.sql进行检查,运行数据库管理软件phpstudy,新建一个数据库,命名为刘某某,导入ceshi.sql,发现该数据库共有cron、data、ddos、user、zt、充值日志表、登录记录7个数据表,选择user表,查询王某2的用户名“jy930325”,得到一条结果,其中注册qq字段数据为745832859;选择ddos表,查询贝贝直播服务器IP地址,得到3条结果,其中user字段数据为jy930325,其中有时间值的UNIX时间轴时间换算为北京时间分别为2017年4月5日4时20分42秒、2017年4月6日3时02分51秒;将7个数据表导出为excel表格,并刻光盘保存,其中充值日志表中显示,充值方式有alipay、weixin及支付宝,充值完成或者充值成功状态的充值记录共有444条,充值金额共计32775.26元的事实;
23、调取证据通知书、调取证据清单、支付宝账号注册信息及交易记录光盘,证实民警调取150××××4497、183×××@qq.com的支付宝注册信息及2017年1月1日至5月2日交易记录的事实;
24、调取证据通知书、调取证据清单、支付宝数据、微信注册、交易记录、光盘,证实民警调取支付宝账号15×××65的注册信息及2017年3月1日以来的交易记录、转账明细,调取微信号×××的注册信息及2017年1月1日以来的交易记录,并刻制光盘附卷的事实;
25、现场勘验检查工作记录及截图、现场勘验检查笔录、提取电子证据清单、光盘,证实2017年10月16日14时30分至15时,民警对杭州某信息技术有限公司网站后台数据进行检查,以确定后台数据库中存储的网站用户数量,经查询,截止2017年5月25日的用户数量,返回值为20163;2018年1月23日14时10分至14时30分,民警对杭州某信息技术有限公司网站服务器的注册用户数进行勘验,使用数据库管理软件查询2017年5月25日0时0分0秒网站注册用户数,执行结果为20163,并将勘验情况刻制光盘附卷的事实;
26、现场勘验工作记录、截图及光盘,证实2017年6月26日15时30分至6月26日16时5分,民警对IP地址为115.159.42.237的腾讯云服务器进行勘验,发现115.159.42.237云服务器位于上海,查询该服务器2017年5月25日至5月26日的系统日志,发现5月25日10时58分外网访问流量约4.7GB,5月26日14时25分外网访问流量约9.5GB,点击“消息中心”查看站内消息,发现5月25日、26日有多封腾讯云发送的DDOS共计站内信,通过查阅,发现因遭受DDOS攻击,该服务器于5月25日、26日先后被封堵5次,累计时长10小时左右的事实;
27、电子证物检查工作记录、电子证物检查笔录及截图,证实2017年10月9日10时15分至14时10分,民警对数据库文件ceshi.sql进行检查,提取数据库中记录的金某的注册信息及攻击记录,运行数据库管理软件phpstudy,浏览数据库“刘某某”,在“user”表中查询被告人金某的用户名“yaodi12345”得到一条记录,其中注册QQ字段为72×××28;选择“ddos”表,查询微盘公司服务器IP地址,得到3条结果,其中user字段数据为yaodi12345,通过UNIX时间戳换算为北京时间,分别为2017年5月25日11时5分17秒、2017年5月25日11时19分7秒、2017年5月25日11时37分21秒的事实;
28、电子证物检查工作记录、电子证物检查笔录、提取电子证据清单及光盘,证实2017年8月23日15时40分至17时25分,民警对金某2的一部黑色联想笔记本进行检查,提取设备中保存的与本案相关的电子数据,共采集各类信息231862条,对取证结果进行搜索,输入关键字“sboot”,获得75个结果,生成取证报告电子版,在桌面文件“IP地址.txt”打开内有“麦洛科技”等的事实;
29、电子证物检查工作记录、电子证物检查笔录及截图,证实2017年10月17日14时20分至15时20分,民警对数据库文件ceshi.sql进行检查,提取数据库中记录的金某2的注册信息及攻击记录,运行数据库管理软件,浏览数据库“刘某某”,选择“user”表,查询金某2的用户名“jc98×××78”得到一条结果,注册QQ字段为98×××78,查询赵某的用户名“aspasp”得到一条结果,注册QQ字段为31×××59,选择“ddos”表,查询金某2的用户名“jc98×××78”,得到211条结果,截图并导出为“金某2导出.csv”,查询赵某的用户名“aspasp”,得到198条结果,截图并导出为“赵某导出.csv”的事实;
30、调取证据通知书、调取证据清单及光盘,证实民警调取阿某云计算有限公司IP地址为106.14.47.225的阿某云服务器2017年4月4日至4月7日的流量日志,并刻制光盘,流量日志显示,IP为106.14.47.225的服务器于2017年4月5日3时29分25秒至3时59分26秒、4时13分38秒至4时43分39秒及2017年4月6日2时55分46秒至3时25分47秒三个时间段被攻击,进行DDOS_BLACKHOLD处理的事实;
31、调取证据通知书、流量日志清单及光盘,证实民警自阿某云计算科技有限公司调取121.42.234.229等IP在今年4、5月以来被DDOS攻击的流量日志及相关资料,并刻制光盘,其中,用户名jc98×××78下显示对9个不同IP进行攻击,造成该9个不同IP被DDOS_BLACKHOLD处理,其中,119.23.45.255的IP在2017年4月30日13:24:30至13:59:31、2017年5月2日10:07:04至11:25:59、2017年5月2日11:49:50至12:29:50三个时间段被攻击,进行DDOS_BLACKHOLD处理,用户名aspasp下显示对13个不同IP进行攻击,造成该13个IP进行DDOS_BLACKHOLD处理的事实;
32、电子物证检查工作记录、电子证物检查笔录及截图,证实2018年1月24日17时20分至07时35分,民警对IP地址为213.32.64.7的服务器中的网站源程序实施电子证物检查,发现写入数据可ceshi的时间值比服务器系统时间大400,将数据库ceshi中记录的金某、王某2发起攻击的时间减去400,再换算为北京时间,得到攻击时服务器系统时间分别为2017年4月5日4时14分2秒、2017年4月6日2时56分11秒、2017年5月25日10时58分37秒、2017年5月25日11时12分27秒、2017年5月25日11时30分41秒的事实;
33、情况说明,证实经多次与深圳警方及某公司沟通,某公司未能就“封堵”做出技术说明,亦未明确腾讯云服务器的时间问题,金某2、赵某等人利用被告人刘某某的网站攻击阿某云服务器的数量均达到10台以上,已经构成破坏计算机信息系统罪的事实;
34、刑事谅解书,证实被告人金某获得被害单位杭州某信息技术有限公司谅解的事实;
35、情况说明,证实2017年5月25日,侦查人员在抓获刘某某后,对网站sboot.org的站点源码及数据库(源码及数据库文件存储在刘某某租用的境外服务器中)实施了远程勘验,提取的源码及数据库文件已刻录光盘保存,勘验工作对站点正常运行无影响的事实;
36、证明,证实重庆某科技有限公司出具证明,证实2017年4月30日至5月2日期间,网站遭受外部攻击,导致网站无法正常使用,进而托管于该公司的微信公众号无法正常使用,影响波及至10万粉丝无法正常使用微信公众号的相关功能,造成一定的恶性影响,由于2017年6月之前,无法查询公司托管的微信公众号的详细粉丝数,但从粉丝的持续增长波动来预估,2016年底时,公司微信平台大约覆盖5万左右粉丝的事实;
37、网站截图,证实在腾讯云官网中,解释IP封堵原因为当攻击超过您的防护上限,您的服务器将会被封堵,普通封堵时长为2小时,大流量攻击封堵时长为24小时等事实;
38、户口证明、证明、户籍证明,证实被告人刘某某、金某的身份情况及被告人刘某某户籍地查无前科的事实;
39、抓获经过、破案经过、抓获、破案经过,证实被告人刘某某、金某系被抓获归案的事实;
40、被告人刘某某的供述和辩解,证实其代理一家日本的某公司(官网地址是:vultr.com)的服务器,主要从事出租服务器或者空间的生意,2017年1、2月份的时候,其在一家叫OVH的国外IDC服务商官网(××)上租用了一台虚拟服务器,后从一个美国的黑客论坛(hackforums.net)上看到一个卖服务器流量的帖子,帖子中提供了一个网站链接(××),其访问该网站后,在网站聊天页面与对方沟通,对方以比特币交易的方式向其提供一组服务器的账号和密码(3台用于执行攻击指令的服务器,以及用于攻击的流量,一套网站源程序和数据库模版),其将账号和密码配置到其写好的PHP脚本程序中,再将该PHP脚本程序放在其代理的vultr.com云服务器中,对方还卖给其一套站点的源程序和数据库,其将程序和数据库部署到OVH的虚拟服务器,又找人修改和优化后,该网站(域名sboot.org,域名解析到IP地址213.32.64.7)就可以运行,其另外以200元价格在网上找人写了一个安卓的APK程序(名称为sbooter)放在网站上供用户下载使用;其做的这个网站是用来测试网络服务器的防御能力即用来攻击网络服务器,其先在一些QQ群里发布网站的链接,会有用户访问并注册,要发起攻击的话需要充值,充值可以通过微信、支付宝、QQ等扫码支付,支付完成后,程序会自动给对应账户充值,用户在APK或者网站上设置好要攻击的IP地址和端口号并发起攻击,程序就会调用放在vultr.com云服务器里的PHP脚本,访问××网站提供的服务器,并最终由该服务器寻找肉机,执行攻击指令,攻击的方式主要是NTP漏洞放大攻击,即放大访问流量到1000倍,并且不会在肉机上留下痕迹,攻击时间是采用UNIX时间戳来记录,即一串10位的数字,应该是世界标准时间,需要换算之后才能得到北京时间,这个时间应该是发起攻击时提交的时间点;213.32.64.7这台服务器的数据库名为“ceshi”,其被抓时用其电脑上的WinScp远程连接到该服务器上,复制的ceshi.sql就是对应的数据库文件,其共建了7个数据表,包括cron(主要是一些网址,没什么用)、data(记录用户在网站公屏上喊话的内容)、DDOS(用户攻击的记录)、user(用户信息)、zt(记录本网站异常状态的持续时间)、充值日志表(记录用户充值日志的)、登陆记录(记录用户登陆记录的),user表中用户共有6700个左右,数据应该也是6700条左右,每条数据包含用户名、注册QQ等信息,充值日志表是用户以不同方式扫码支付的金额,其中充值状态为充值完成和充值成功的均是支付成功的,用户通过其的sboot.org网站及sbooter发起DDOS攻击服务,需要先进行充值,充值的套餐金额有5元、10元、70元、120元、240元、360元、888元,用户可以通过支付宝、微信和QQ三种方式进行扫码充值,充值金额不同,发起攻击的次数也不同,公安机关对sboot.org网站(域名解析到IP地址213.32.64.7)进行勘验,从数据库中提取充值日志表中显示状态为“充值成功”和“充值完成”状态的,就是其通过向用户提供DDOS攻击服务的获利情况,共计获利三万余元,该三万余元中部分系其手工给用户充值的记录,手工充值记录的备注为“支付宝”,其中用户名为jy930325的用户扫码支付给其240元,其手工给他的账户充值,该用户的攻击记录在数据库中应该有,以及其的微信号为微信号×××等事实;
41、被告人金某的供述和辩解,证实其之前在杭州某科技有限公司上班的时候就知道某公司,某公司和某公司均是做移动支付业务,为竞争对手,某公司的销售人员说话比较嚣张,经常在客户面前、网上一些论坛发表一些诋毁某公司的言论,其对某公司比较有怨气,两家公司的网站也经常遭恶意攻击,某公司受攻击的情况比较严重,因此其怀疑是某公司在攻击首展的网站,其产生了攻击微盘公司网站来报复的想法,2017年5月,其通过百度搜索“在线压力测试平台”即DDOS攻击,搜索到一个域名为sboot.org的网站,其进入网站后,注册了“yaodi12345”的账号,密码为jq02151993,具体注册时间是2017年5月下旬,注册时填写的QQ号码为72×××28,登陆后其浏览了网站使用流程,需要先在线扫码付费才能实现攻击,其通过支付宝账号15×××65扫码先后支付了120元、70元,付费后其在网站的攻击页面填写了某公司官网服务器www.payweipan.com和端口号80,只要ping一下这个域名就可以得到对应服务器的IP地址,将IP地址填到网站sboot.org的攻击页面,界面上有“四层攻击启动器”和“七层攻击启动器”,其选择了四层攻击,再点击发起攻击,过了20秒左右,这个域名就ping不通了,说明攻击成功,2017年5月下旬至约定,其共攻击微盘公司二、三次,但是具体时间其记不清楚了,操作是其在首展公司上班期间,使用的是首展公司的电脑,其在6月初自首展公司离职,离职后,首展公司的办公设备是不能带走的,因电脑上浏览器的历史记录是定期删除的,因此当时攻击的痕迹已经没有了等事实。
证据确实充分且相互印证,足以认定。
本院认为
本院认为,被告人刘某某明知他人实施故意干扰计算机信息系统功能的行为,而提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得25000元以上,被告人金某违反国家规定,故意干扰计算机信息系统功能,造成计算机信息系统不能正常运行,其行为均已构成破坏计算机信息系统罪,且被告人刘某某的行为属于后果特别严重,被告人金某的行为属于后果严重,公诉机关指控的罪名成立。被告人刘某某的辩护人提出被告人刘某某的行为构成提供侵入、非法控制计算机信息系统程序、工具罪,且系后果严重,法定刑为三年以下有期徒刑或者拘役的辩护意见,与被告人刘某某的犯罪事实及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第九条“明知他人实施刑法第二百八十五条、第二百八十六条规定的行为,具有下列情形之一的,应当认定为共同犯罪,依照刑法第二百八十五条、第二百八十六条的规定处罚:(一)为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得五千元以上或者提供十人次以上的;实施前款规定行为,数量或者数额达到前款规定标准五倍以上的,应当认定为刑法第二百八十五条、第二百八十六条规定的‘情节特别严重’或者‘后果特别严重’”的法律规定不符,本院不予采纳。被告人刘某某、金某归案后均如实供述犯罪事实,在庭审中自愿认罪,本院均依法予以从轻处罚。被告人金某获得被害人单位的谅解,本院酌情予以从轻处罚,并对被告人金某适用缓刑。各辩护人的相关辩护意见,本院均予以采纳。据此,依照《中华人民共和国刑法》第二百八十六条第一款、第二十五条第一款、第六十七条第三款、第七十二条第一款、第七十三条第二款、第三款、第六十四条及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条第一款第(四)项、第九条第一款第(一)项、第二款之规定,判决如下:
裁判结果
一、被告人刘某某犯破坏计算机信息系统罪,判处有期徒刑六年四个月(刑期自判决执行之日起计算。判决执行前先行羁押的,羁押一日折抵刑期一日。即自2017年5月25日起至2023年9月24日止)。
二、被告人金某犯破坏计算机信息系统罪,判处有期徒刑一年六个月,缓刑二年(缓刑考验期限从判决确定之日起计算)。
三、扣押于杭州市公安局余杭区分局未随案移送的被告人刘某某的犯罪工具黑色华为手机一部、电脑硬盘一个,均予以没收,由杭州市公安局余杭区分局处理。
如不服本判决,可在接到判决书的第二日起十日内,通过本院或直接向浙江省杭州市中级人民法院提出上诉。书面上诉的,应交上诉状正本一份,副本二份。
审判人员
审判长李敏
人民陪审员杨仁洪
人民陪审员冯松妹
裁判日期
二〇一八年六月十九日
书记员
书记员张丽
