非法侵入计算机信息系统罪

北京市海淀区人民法院

刑 事 判 决 书

（2015）海刑初字第2447号

公诉机关北京市海淀区人民检察院。

被告人张X，男，1992年1月16日。因涉嫌犯非法侵入计算机信息系统罪，于2014年12月24日被羁押，2015年1月7日被逮捕。现羁押在北京市海淀区看守所。

辩护人闫喜刚，北京市XX律师。

北京市海淀区人民检察院以京海检公诉刑诉（2015）2093号起诉书指控被告人张X犯非法控制计算机信息系统罪，于2015年9月30日向本院提起公诉。本院依法组成合议庭，公开开庭审理了本案。北京市海淀区人民检察院指派检察员朱X出庭支持公诉，被告人张X及其辩护人闫喜刚到庭参加了诉讼。现已审理终结。

北京市海淀区人民检察院指控，2014年11月2日，被告人张X在其家中，利用其租用的VPS服务器作为主控服务器，使用自己的电脑登陆服务器后，利用SYN扫描器扫描出互联网内存在WDCP漏洞的计算机信息系统，并使用“XXX”文件取得上述计算机信息系统的控制权，后利用其租用的VPS服务器内“3600集训”软件生成名为“XXX”的木马文件，再利用SSH连接器将该木马上传至其控制的计算机信息系统上，致使该计算机信息系统对外做ddos流量攻击。经查，被告人张X以上述方法非法控制XX公司（住所地：本市海淀区XX）的计算机信息系统共计102台，致使腾讯云网络瘫痪约100分钟。

被告人张X于2014年12月24日被公安机关抓获归案，后如实供述了上述犯罪事实。现涉案电脑已扣押在案。

针对上述指控，公诉机关向本院提供了相应的证据材料，认为被告人张X的行为已构成非法控制计算机信息系统罪，情节特别严重，提请本院依照《中华人民共和国刑法》第二百八十五条第二款、第六十七条第三款之规定，对其定罪处罚。

被告人张X对公诉机关指控的事实及罪名均没有提出异议，但辩解自己非法控制的计算机信息系统不满100台。

其辩护人发表的辩护意见为：对公诉机关指控的罪名无异议，但对情节特别严重有异议。流量截图、监控异常图无法证明被告人非法控制102台，通过对外攻击的IP列表，显示很多“缺失”和没有的项目，故没有充足的证据证明被告人非法控制102台，建议法院按照情节严重对其在三年以下有期徒刑量刑并适用缓刑。

经审理查明：

2014年11月2日，被告人张X出于炫耀的目的，在其家中，利用其租用的VPS服务器作为主控服务器，在使用自己的电脑登陆服务器后，利用SYN扫描器扫描出互联网内存在WDCP漏洞的计算机信息系统，并使用“XXX”文件取得上述计算机信息系统的控制权，随后利用其租用的VPS服务器内“3600集训”软件生成名为“XXX”的木马文件，再利用SSH连接器将该木马上传至其控制的计算机信息系统上，致使该计算机信息系统对外做DDOS流量攻击。经查，被告人张X以上述方法非法控制XX公司的计算机信息系统共计94台，致使腾讯云网络瘫痪约100分钟。

同年12月24日，被告人张X被公安机关抓获。

针对上述事实，公诉机关当庭宣读并出示了侦查机关依法收集和调取的如下证据材料：

1.被告人张X的供述，其供称，2014年11月1日，其在网上发现了云服务器的WDCP漏洞，便请朋友帮助做了WDCP入侵、WDCP密钥下载、SSH连接器、HTTP等4个漏洞检测的软件。之后其在淘宝网上用支付宝租用了安徽淮北的IP为60.172.229.178的VPS服务器。11月2日凌晨3时许，其在出租房内，用自己电脑上的SYN软件扫描互联网上存在漏洞的服务器的IP地址，再用WDCP入侵软件测试扫描到的服务器是否是WDCO页面，是否有默认密码，筛选出是WDCP界面的服务器后，再用HTTP直接访问软件来尝试进入WDCP目录下的一个文件，如果此文件存在就有被入侵的可能。然后软件会自动生成一个IP的列表，其再手动把IP的列表输入到WDCP密钥下载到此软件里，软件进而会自动筛选出符合被控制条件的服务器生成密钥文件。其再用SSH连接器连接这些IP。通过此方法其一共控制了325台云服务器，且其在被控制的服务器上建立了“jgjsfgv”的后台账号。其在租用的服务器上安装一个3600集训软件，此软件生成”XXX”的木马文件，自动安装到被其控制的325台云服务器里。当日12时许，其在淘宝网上找了一个能测试流量的人，用支付宝买了些IP，用于测试其所控制“肉鸡”攻击的流量值。

2.证人黄×（XX公司的客户部总监）的证言，证明2014年11月2日中午，有客户反映腾讯云服务器无法正常访问。其立即联系公司在深圳的安全团队，技术人员通过审查发现102台服务器在向外做大量的ICMP攻击，导致其公司的网络有大量向外发送的数据包，超过了网络可以负荷的限度，使腾讯云网络瘫痪。技术人员通过分析服务器XX发现，当日7时至14时时间段内的ICMP流量异常，因此认为是有人有网络攻击行为。当日14时15分系统恢复正常，上述行为造成公司网络瘫痪的时间持续了约100分钟。

3.证人王×（XX公司云平台的安全高级工程师）的证言，证明2014年11月2日，有客户反映腾讯云服务器无法正常访问，其立即通过日常的审计系统查看，发现102台服务器在向外做大量的ICMP攻击，导致公司网络有大量向外发送的数据包，超过了网络可以负荷的限度，使腾讯云网络瘫痪。其通过分析服务器XX发现，当日7时至14时时间段内的ICMP流量异常，因此认为这是利用腾讯云服务器进行的网络攻击行为。通过查看XX发现，凌晨3时38分左右，有人通过182.86.128.224的IP地址，利用腾讯云的WDCP漏洞，在腾讯云1**台服务器上建立了SSH后台账号。当日7时至7时半，有人从IP地址60.172.229.172的服务器通过已建立的SSH后台账号登陆这些主机，同时从该IP批量下载文件名为XXX（一个可以发起流量攻击的木马文件）的工具，然后启动软件对外发起攻击。其发现这一情况后，于当日14时将攻击行为的主机进行隔离处理，攻击行为中止。上述攻击行为造成公司网络瘫痪时间持续约100分钟，经济损失数百万元。

4.证人刘X（XX公司云平台的安全工程师）的证言，证明内容同上。

5.证人江×（XX公司云平台的安全工程师）的证言，证明公司保存的被入侵时的服务器XX包括黑客利用WDCP漏斗入侵并建立账户jgjsfgv登陆phpmyadmin，生成SSH登陆密钥，通过密钥登陆系统，启动对外攻击程序这5部分，提取到的攻击时用的恶意程序是文件名为XXX的可执行文件，下载后自动执行，然后产生对外攻击行为。其余证明内容同上。

6.证人汪X（北京XX公司的运营总监）的证言，证明2014年11月2日12时30分左右，其公司租用的XX公司的服务器系统发出警示，显示服务器不可用，在云服务器上运营的网络游戏无法登陆，公司员工立即与XX公司联系反映上述问题，对方告知服务器遭到了攻击。当日14时许，对方告知服务器修好恢复正常，其公司的服务器也恢复正常使用了。此事件使该公司网络游戏受影响时间持续100分钟左右。

7.证人高×（北京XX公司的CEO）的证言，证明其公司租用腾讯云服务器作为手机游戏的服务器使用。2014年11月2日中午，其公司发现游戏服务器后台很少有玩家充值、游戏数据包丢失，同时大量玩家反映登陆不上服务器，其立即与XX公司联系，对方说服务器遭受攻击。当日下午14时许，对方告知服务器恢复。其公司受影响时间为100分钟左右，造成3款网络游戏不能正常运营，大约30万左右玩家无法登陆游戏。

8.证人徐×（安徽XX公司的技术经理）的证言，证明其公司提供计算机服务器租赁、托管服务，IP60.172.229.178的服务器在2014年10月25日至11月29日租给了“王X”使用。此后该服务器至今空置。该客户使用上述服务器过程中产生的文件和XX等相关线索公司均有备份。

工作说明显示，其公司于同年12月15日，将涉案服务器在同年10月25日至11月29日期间客户使用过程中产生的文件和XX等相关线索，向公安机关提供。

9.北京信诺司法鉴定所“腾讯云平台被攻击案鉴定意见书”，证明涉案计算机软件及硬件等电子证据的鉴定情况，其中：送检的光盘（XX公司服务器中提取）内提取出的服务器镜像文件2个经分析，提取出名称为“生成器.Exe”等软件5个，此5个软件均为恶意攻击程序；经一致性比对，提取出的“XXX”与送检的U盘（案发后公安机关自XX公司服务器中提取）内提取出的“XXX”为同一软件。

在台式计算机（被告人张X家中起获的其使用的台式计算机）内置第2块硬盘内提取出QQ聊天记录及名称为“XXX”的软件1个，经分析，该软件可对导入的网址进行自动登录，利用WDCP漏洞向mysq1数据库内添加用户并下载SSH登录密钥文件，取得控制权。

鉴定书附件罗列了从送检的移动电话（被告人张X家中起获的其使用的手机）中提取并恢复的通话记录及短信息的内容。

10.司法会计鉴定书，证明确认XX公司申报的经济损失金额。

11.现场勘验检查工作记录，证明位于张X景德镇市珠山区方家山新XX的住处二层房间内的组装台式计算机，使用者的QQ号码为×××（昵称users），该号码关系人为与“webshe11、DDOS”等内容相关。聊天内容为黑客攻击等相关内容。该计算机使用者拥有正版“3600集群3.0带轮训”、“XXX”、“wdcp拿站”、“心脑出血漏洞扫描器汉化版”、“2013远程代码执行漏洞”等黑客相关内容文件。该计算机使用者通过远程操控主机进行模拟百度点击刷流量操作。

对张X的苹果牌手机勘验分析为：张X在2014年11月2日11时许对他人提及自己的DDOS攻击行为。该行为导致多台服务器被攻击，被攻击服务器主机无法正常工作。

远程勘验检查工作记录，证明对XX公司云平台部相关服务器数据进行勘验，从主机提取到可疑文件“XXX”刻录至光盘。

12.XX公司提供的光盘内容的文字说明，证明该光盘内的内容为：102台对外攻击IP列表、DDOS工具（XXX）分析、当天流量截图、当天XX汇总、网络流量监控异常图示、网络抓包文件、网络抓包文件V2版本。

13.公司营业执照副本复印件，证明XX公司住所地在海淀区。

14.XX公司出具的证明文件，证明本案被控制的102台服务器物理位置位于广州、上海；此案影响到腾讯云C**加速服务，腾讯云C**加速服务器的位置在其公司北京机房。

15.XX公司的说明，证明XX公司涉案的102

台服务器为20多家网络游戏公司提供游戏服务，无法统计用户数量。

16.到案经过，证明被告人张X到案的过程。

另有腾讯云平台流量检测图、XX公司百倍赔偿

说明、合同3份、扣押清单、工作说明、被告人身份信息等材料，证明案件的相关情况。

经庭审质证，被告人张X及辩护人对XX公司被控制电脑IP列表提出异议，认为此表中“流量图缺失”有11台；“抓包文件缺失”4台；“入侵XX”生成只有7台，有96台没有；“攻击XX”标记“缺失”的有7台，标记“否”的有4台，故至少有13台服务器不能证明是被告人张X非法控制的。对控方其余证据没有提出异议。

法庭认为，控方当庭出示的证据，形式及来源合法、有效，内容客观真实，且与案件事实相关联，对其证明效力，本院予以确认。对于被告人张X及其辩护人的质证意见，法庭将结合全案的事实及证据，在下文一并作出综合评判。

本院认为，被告人张X非法控制计算机信息系统的程序，情节严重，其行为已构成非法控制计算机信息系统罪，应予惩处。北京市海淀区人民检察院指控被告人张X犯非法控制计算机信息系统罪的事实清楚，证据确实充分，指控罪名成立。

针对被告人张X的相关辩解及其辩护人的关于非法控制计算机信息系统的数量之辩护意见，经查，从技术层面上理解，计算机系统中“攻击XX”项显示“否”，表明有此XX，但由于数据不全，不能证明该主机被攻击。“攻击XX”项显示“缺失”，表明此XX不存在。在“攻击XX”“缺失”、无“入侵XX”、无“抓包文件”，只有“流量图”的情况下，仅证明涉案主机不能正常运行，而非证明该主机被攻击，亦不能证明攻击行为是何人所实施；在只有“抓包文件”和“流量图”的情况下，可以证明涉案主机被攻击，同样不能证明攻击行为是何人所实施。由此，根据本案证据显示，被告人张X非法控制计算机系统的数量为94台。综上，本院对被告人张X及辩护人的相关意见酌予采纳。对公诉机关指控的涉案计算机信息系统的数量予以纠正。

鉴于被告人张X到案后及在庭审过程中能如实供述犯罪事实，认罪态度较好，故本院依法对其予以从轻处罚。其辩护人关于对其适用缓刑的意见，无事实与法律依据，本院不予采纳。依照《中华人民共和国刑法》第二百八十五条第二款、第六十七条第三款及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条第一款第（三）项之规定，判决如下：

被告人张X犯非法控制计算机信息系统罪，判处有期徒刑二年六个月。

（刑期从判决执行之日起计算。判决执行以前先行羁押的，羁押一日折抵刑期一日，即自2014年12月24日起至2017年6月23日止。）

如不服本判决，可在接到判决书的第二日起十日内，通过本院或者直接向北京市第一中级人民法院提出上诉。书面上诉的，应当提交上诉状正本一份，副本一份。

审　判　长　　吕海菲

人民陪审员　　张淑萍

人民陪审员　　孟秀文

二〇一五年十一月二十五日

书　记　员　　李XX