Re: [新聞] 葉元之曝IP帶風向罵國民黨 質疑國發會公

※ 引述《lianpig5566 (家庭教師殺手里包恩)》之銘言：
: 老實說 用國發會IP上網又沒怎樣XD
: 況且也不一定是國發會的人，可能跟上次改維基一樣，是某個政府機關的人
: 在台灣，像是TANet、GSN這類網路，相比Hinet等商網來說，
: 因為其性質特殊的關係，通常都有訂定一堆規範、發現違法行為時會要求連線單位說明: 所以像是TANet的話，轄下連線單位通常還會另外申請個幾路商網(如Hinet)，
: 做個Policy Route，讓電腦教室、WIFI等設備都走Hinet出去，而不透過TANet，
: 然後若是研究室、各處室伺服器的話，就採申請制，走TANet上網。
: 像是iTaiwan這種政府提供的WIFI的話，通常也是走Hinet的IP而非政府IP，
: 但是如果是GSN的IP的話，就一定是政府機關的人嗎？那也說不一定。
: 因為我也遇過有些圖書館的公用電腦出去的是國發會IP，也有遇過是教育局IP
: 所以說是養網軍的話也不太可能啦，哪個網軍會白癡到用政府IP罵人......
: 去找找被站方公告停權的帳號，有哪幾個是用政府IP的？

IDCC集團就用過立法院IP啊..

推給立法院IP被偽冒竄改、之後總統府也被駭客入侵抓不到人，

而且立法院長水牛伯報警帳號被盜但抓不到人
https://money.udn.com/money/story/7307/4212802

PTT帳號與楊有關？ 游錫堃報警

「卡神」楊蕙如網軍事件延燒，ＰＴＴ站方今年十月移除一批懷疑與楊蕙如、「idcc」有關的帳號，有網友發現行政院前院長游錫堃使用過的帳號「fanfantu2014」也在移除名單中，質疑雙方關係。游錫堃昨天表示，他久未使用該帳號，已經委由幕僚向警方報案，希望能夠盡速查明真相。

ＰＴＴ帳號部站長昨天發出聲明，官方十月刪除的「fanfantu2014」帳號是二○一六年註冊，不是游在二○一四年註冊的帳號；批踢踢八卦板臉書粉專昨天進一步指出，游應是超過上站期限被刪除帳號，事後被楊蕙如集團註冊走了。

游錫堃昨天一早陪同桃園立委參選人鄭寶清拜票時，再三強調他的ＰＴＴ帳號與卡神「一點關係都沒有」；他還一度表示，「很久沒有使用，我要用就可用。」

看到ＰＴＴ站方聲明後，游錫堃表示，「哈！原來ＰＴＴ太久沒有登入會被註銷帳號」，謝謝ＰＴＴ官方出面釋疑，原來是有人重新註冊了。

https://tw.appledaily.com/politics/20191204/Q7WOHZ56PEVPODHBRX7YHOZEWY/
【卡神僱網軍2】立院資訊處：IP位於中興大樓2、3樓　但易偽冒竄改
「卡神」楊蕙如因指示網軍操作網路風向遭檢方起訴，近期傳出，有個「idcc」帳號行蹤神秘，經常密集使用立院IP位址在PTT發文「黑韓」。據指出，由於立院IP位址就只有幾個
，難以釐清帳號本尊身份，立院資訊處則說明，該IP位址是立院中興大樓2、3樓對外IP的代表號。但也強調，根據現行通訊技術，IP也可以遭偽冒，或論壇平台遭受入侵，竄改紀錄。

也有一名立院資深助理直言，從事政治工作上網關心議題、發表意見是很正常的事情，若該帳號講的是事實，就不應過度解讀為「黑韓」。

據悉，北檢在調查楊蕙如網軍案過程中，發現當時攻擊我駐大阪辦事處相關帳號中，有一帳號曾密集使用立院的IP位址發文「黑韓」，遭藍營質疑是以民進黨立委辦公室作為網軍基地。

對此，立法院資訊處表示，210.69.138.19」的IP是立法院中興大樓2、3樓對外IP的代
表號，但根據現行通訊技術，IP也可以遭偽造，或論壇平台遭受入侵，竄改紀錄。

據了解，目前在立法院中興2、3樓的立委研究室包括國民黨立委孔文吉、林為洲、許淑華、鄭天財，民進黨立委何欣純、李昆澤、段宜康、黃國書、楊曜、劉世芳、劉櫂豪、蔣絜安、蕭美琴，親民黨立委周陳秀霞等人。

一名立院幕僚指出，政治助理關心政治新聞、上網發表評論是家常便飯，也有很多助理會上PTT、Dcard等平台討論議題，其中當然也會有較具攻擊性的意見。他說，不能把所有發文者都定義為「網軍」，因網軍應該要有組織性、金錢往來，多數立院助理仍以單獨、自發性發表評論最為常見。

該幕僚並說，實際上，在大選期間有很多公關公司會來立法院接洽，這些才是網軍的類型。另一名立院資深助理則說，倘若該帳號說的是事實，就不能說是「黑韓」，而是應虛心檢討，從事政治工作上網發表評論很常見，作爲助理，上網發表評論、回應文章幫老闆辯護，也是很正常的事情。（呂晏慈／台北報導）

https://imgur.com/nDPXoFi.jpg

至2019/12/3為止出現過的立院IP的ID

210.69.138.162=立院IP(張廖萬堅 hui859/tomsclee/LaiChingde
210.69.138.175=立院IP(林昶佐 前助理kenny468/yangch/xianlin
210.69.138.169=立院IP(黃國書? wcchi69/jab1114/iChenfong/OdieX/l11l11l/
aammyy0206

更正revadios本人澄清為林昶佐辦公室樓上任職，單純上屆用過辦公室故IP重複

上述幾位可能為助理工讀 或是辦公室人員

然後樓下這位 跟idcc同樣登入過日本ip

【 查詢網友 】
《ＩＤ暱稱》TFedrex (使命必達) 《經濟狀況》赤貧
《登入次數》1025 次 (同天內只計一次) 《有效文章》2 篇 (退:0)
《目前動態》不在站上 《私人信箱》最近無新信件
《上次上站》12/03/2019 12:01:24 Tue 《上次故鄉》210.69.138.169(國家發展委員
《 五子棋 》 0 勝 0 敗 0 和 《象棋戰績》 0 勝 0 敗 0 和

《個人名片》TFedrex 目前沒有名片

《ＩＤ暱稱》TFedrex (使命必達) 《經濟狀況》赤貧
《登入次數》1546 次 (同天內只計一次) 《有效文章》2 篇 (退:0)
《目前動態》不在站上 《私人信箱》最近無新信件
《上次上站》03/18/2022 09:43:04 Fri 《上次故鄉》111.235.212.120(新北)
《 五子棋 》 0 勝 0 敗 0 和 《象棋戰績》 0 勝 0 敗 0 和

《個人名片》TFedrex 目前沒有名片

這人曾跟idcc同日本ip過，檢警不知有何作為，至今仍正常上線逍遙法外

https://ithome.com.tw/news/137154
圖書館LED燈控制器的IP位址成攻擊跳板，法務部調查局與資安業者合力破獲。
https://imgur.com/e3p8YUr.jpg

調查局與微軟合作拿下非法VPN與殭屍網路，源頭竟是一個LED燈控制器。（圖片來源：調查局）

竟是VPN錯誤設定的疏失，導致臺灣政府公務機關IP位址淪為攻擊跳板

在事件調查過程中，該單位資通安全處處長吳富梅表示，首先，他們調閱了IP位址（117.56.xxx.xxx）的申請資訊，發現是公務機關所持有，並查出攻擊所在是北臺灣鄉下的大樓內，更意外的是，駭客用來散布惡意程式的，竟然是一個不起眼的圖書館LED燈控制裝置。

https://imgur.com/z6ljG7a.jpg

另一個關鍵發現是，原先管理LED控制系統主機的資訊公司，他們架設了VPN伺服器以便於管理，但卻有錯誤設定的情況，因此遭誤用而被不明人士公開。

根據調查局的說明，該主機其實並未受Necrus感染，主要是該IP位址被利用當成散布
Necurs殭屍網路的跳板，這也使得許多釣魚郵件與惡意攻擊都是來自這個臺灣政府的IP位址。

直到調查局修正錯誤設定，關閉LED燈控制系統主機VPN服務，才讓這個惡意病毒訊號在監控平臺上消失。

雖然大家多將焦點都會放在LED燈控制系統主機，但根據調查結果是該主機並未受到
Necrus
感染。只是，這起案件還是讓一些問題重新浮上檯面。例如，由於管理LED燈控制系統的業
者，竟因為VPN錯誤設定的疏失，導致臺灣政府公務機關IP位址淪為攻擊跳板，此外，相關
單位或業者是否有法律責任，國內還有多少VPN設定錯誤情形，以及多少IP位址被當成跳板
，仍有待執法單位的調查與偵辦。
https://www.ithome.com.tw/news/137175
PTT使用者反應帳號出現非本人嘗試登入行為，疑似對方利用自動化工具猜密碼

近期我們發現PTT上出現疑似自動化工具猜密碼的惡意活動，受影響的用戶在兩秒內就被他
人快速嘗試3次密碼，而這樣的狀況，在3月底與4月中旬各出現一波攻勢，目前尚未看到站
方與外界對此攻擊行為發表評論。

https://imgur.com/bCxByMZ.jpg

近一個月來，臺灣電子布告欄批踢踢實業坊PTT傳出不少用戶帳號出現遭人嘗試密碼的情形
。首先，近期我們在登入PTT時，發現今年3月底到4月初的期間，PTT帳號有被嘗試密碼的行為，每次都是同個IP位址連續登入失敗三次，並且是在2到3秒內就完成，相隔沒幾天，又有不同IP位址嘗試登入，而網路上也許多網友表示遭受同樣的狀況。到了4月中旬，又有
一波這樣的狀況發生。目前站方與外界尚未對此狀況發表評論。

對此事件，由於用戶每次登入PTT時，若是密碼錯誤，其實都會斷線並留下一次記錄，因此
這樣短時間連續三次被嘗試密碼的情形，可能是有惡意人士或集團，透過自動化工具以密碼噴灑（Password Spraying）的攻擊方式，利用常見弱密碼嘗試進行盜取用戶帳號。

不過由於PTT新帳號註冊日益浮濫的問題，使得PTT官方在2018年9月正式宣布，停止新帳號
的註冊，且至今仍未對外界開放，僅在上個月開放臺大學生以學生信箱註冊。

而過去，其實也就曾有PTT帳號買賣的情況，以及使用多年帳號能賣出高價的消息，因為有
不當人士想要利用非新手帳號來達到一些目的。例如，在2019年7月時，由於逼近臺灣總統
大選，因此官方將許多PTT最熱門討論區的發文門檻提高，也就是需要登入次數到達一定程
度，才能在版上發文，因而傳出有人求購老用戶帳號的需求。而PTT官方也曾刪除多個曾在
交易平臺出售過或出售中的帳號。

無論如何，若有帳號被盜用的疑慮，請記得變更密碼為與其他服務不重複且易記的密碼，不要使用弱密碼，並使用加密連線管道登入。要查詢自己是否遭非法登入也很簡單，PTT用
戶從「個人設定區」即可檢視「最近上站記錄」，可以看到自己過去登入成功的IP位址。目前看來，這樣的惡意活動主要對許久未上站的PTT帳號有較大的影響，雖然早期PTT會將久未使用與登入的帳號刪除，目前機制則不太清楚。

由於這樣的非法登入行為，幾乎都是在兩三秒內就出現了三次密碼嘗試的動作，而一般用戶登入失敗一次後，其實就會連線中斷，需要重新連線輸入帳號與密碼，顯然這是自動化工具所為。

此外，這些嘗試登入的IP位址是否皆為國內外的攻擊跳板，以及背後攻擊者的背景，也成為外界可以關注的面向。

--
https://i.imgur.com/2PVwSbg.jpg

https://imgur.com/5jCJ35O.jpg
https://imgur.com/xA3ZQxI.jpg
https://imgur.com/RMK0GBW.jpg
https://imgur.com/zL4ORaZ.jpg

--

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.120.192.119 (臺灣)