汤某非法获取计算机信息系统数据、非法控制计算机信息系统罪一审刑事判决书

公诉机关如皋市人民检察院。被告人汤某。被告人汤某因涉嫌犯非法控制计算机信息系统罪，于2017年5月28日被如皋市公安局刑事拘留，2017年7月4日被执行逮捕。现羁押于如皋市看守所。辩护人梁厚宝，四川果城律师事务所律师。

如皋市人民检察院以皋检诉刑诉（2018）286号起诉书指控被告人汤某犯非法控制计算机信息系统罪，于2018年5月21日向本院提起公诉。本案经南通市中级人民法院指定本院管辖。本院依法适用普通程序，组成合议庭，公开开庭进行了审理。如皋市人民检察院指派检察员陈某1出庭支持公诉。被告人汤某及其辩护人梁厚宝到庭参加诉讼。现已审理终结。公诉机关指控，2016年1月份，被告人汤某受雇于柬埔寨组织，在四川省成都市成华区金科一城6栋2单元704室其家中，通过上海一迅信息科技有限公司租设在南通市等地的网络服务器作为跳板服务器隐藏自身IP等方法，采用软件批量扫描网络漏洞、植入木马等手段，非法获取webshell，截至2017年5月28日案发，被告人汤某的“外星人”牌笔记本电脑中储存有1642条webshell，非法获利人民币40余万元。2017年6月9日，经鉴定，被告人汤某笔记本电脑中webshell连接有效的有85条。公诉机关认为，被告人汤某的行为构成非法控制计算机信息系统罪，被告人汤某能如实供述自己的罪行，可以从轻处罚。诉至本院。被告人汤某对公诉机关指控其犯非法控制计算机信息系统罪没有异议，当庭表示自愿认罪。被告人汤某的辩护人对公诉机关的指控没有异议，提出如下辩护意见：1.被告人汤某归案后能如实供述自己的罪行，自愿认罪；2.本案的社会危害后果较小，综上，建议对被告人汤某从轻处罚，判处三年有期徒刑。经审理查明，2016年1月份，被告人汤某受雇于柬埔寨组织，在四川省成都市成华区金科一城6栋2单元704室其家中，通过上海一迅信息科技有限公司租设在南通市等地的网络服务器作为跳板服务器隐藏自身IP等方法，采用软件批量扫描网络漏洞、植入木马等手段，非法获取webshell（计算机术语，被称为网站后门工具，入侵者通过网站端口对网站服务器某种程度上操作的权限），截至2017年5月28日案发，被告人汤某的“外星人”牌笔记本电脑中储存有1642条webshell，非法获利人民币40余万元。2017年6月9日，经盘石软件（上海）有限公司计算机司法鉴定所鉴定，被告人汤某笔记本电脑中webshell连接有效的有85条。案发后，被告人汤某能如实供述自己的罪行；如皋市公安局自被告人汤某处扣押笔记本电脑1台、手机2部、移动硬盘2部、华夏银行、农业银行卡各1张（上述物品均暂存于如皋市公安局）。上述事实，有下列经庭审举证、质证的证据证明，本院予以确认：1.物证如皋市公安局自被告人汤某处扣押的“外星人”笔记本电脑等物，证明：如皋市公安局对汤某的住宅进行了搜查，扣押外星人笔记本电脑1台、苹果5S、6S手机各1部、移动硬盘2块、华夏银行卡1张（卡号62×××58）、农业银行卡1张（卡号62×××76）。2.书证（1）四川省华蓥市公安局双河派出所出具的户籍证明，证明：被告人汤某达到刑事责任年龄，无违法犯罪记录。（2）如皋市公安局出具的发破案经过、成都市公安局龙华区分局青龙警署出具的情况说明、南通市公安局指定管辖决定书，证明：本案的案发及被告人汤某归案情况。（3）中国农业银行如皋市支行提供的汤某银行卡交易明细、泉州市农商行提供的王某1的存款明细账，证明：汤某的账号为62×××76农业银行账户明细，孟某、高某、杜某、方某、欧某、陈某2、蓝某、赵某1、赵某2、杨某、胡某、武某、谢某、樊某、曹某、王某2、丁某、曹某、王某3、王某1等人转款给其。合计106笔505806元。（4）如皋市公安局出具的工作笔录、查询的出入境记录，证明：王某3近期网银交易登录IP地理位置均为柬埔寨；汤某于2016年3月29日出境前往柬埔寨，2016年5月18日回国；谭某于2013年12月10日至2017年2月23日间多次往返境内和柬埔寨；王某1无出境记录；王某3无往来港澳通行证及护照。（5）如皋市公安局查询的王军航建行账户、樊某工行账户交易记录、如皋市公安局网络安全保卫大队2017年6月27日出具的工作笔录，证明：经查询近期王某3网银交易登录IP地理位置均为柬埔寨。樊某网银交易登录IP部分与王某3的一致。（6）盘石软件（上海）有限公司计算机司法鉴定所出具的情况说明，证明：webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。被入侵者利用达到控制网站服务器的目的。3.被害人陈述（1）孙磊的陈述，证明：其在安徽省第一装备网做网站的维护相关工作，网站的域名是www.1gear.cn，具体是其在维护，网站服务器放在合肥电信机房，租用的独立服务器，IP地址是61.191.61.248，注册人即所有人为安徽嵘熙时代贸易有限公司，服务器最近总是出故障，莫名其妙的宕机，也没有查出问题在哪里，其看了一下服务器网站目录里面有个陌生的文件，疑似木马文件，文件名为“djh3_c1.php”,在“phpsso_server”目录下面。2017年7、8月份，其发现网站被黑客挂了许多非法链接文件，指向赌博网站，有一个名叫“威尼斯人”。（2）邱原的陈述，证明：其在南京溧水南报传媒发展有限公司做网站维护工作，南京市溧水区区工委网站的域名是www.ljjggw.cn，是其公司负责维护的，具体是其在维护，网站服务器放在溧水电信云主机，物理地址在溧水电信机房里面，IP地址是36.111.195.64。其在溧水区机关工委网站服务器里面看到了一个陌生的文件，文件名是“1.asp”，路径是C/www/jggw/database，这个asp文件肯定是别人放在里面的。（3）李新新的陈述，证明：其是江苏仕德伟网络科技股份有限公司IDC运维部的负责人，负责公司的所有服务器、网络的管理与维护，沭阳县人民医院的网站是其公司做的，使用的网址是××/，存放在IP地址为61.155.209.235的服务器上，服务器是其公司的一台虚拟服务器，主机使用的VMwareVSphereESXI搭建的，搭虚拟服务器的操作系统是Windowssever2012，在这台虚拟服务器下面放了323个站，沭阳县人民医院的这个站就是其中的一个，使用的PHP语言写的。其在网站根目录下的API文件夹内发现有个2323.php的文件，是一个木马文件，该文件显示是2017年4月29日创建的。（4）刘某（陕西泰山置业集团有限公司）、宋某的陈述（陕西泰山置业集团有限公司），证明：陕西泰山置业集团有限公司网站由韩城市广播电视台帮助制作、维护，维护人为宋某，网址为××/，公安人员找来后宋某仔细检查了网站，发现服务器内有个名叫“code.php”的木马文件，控制密码是Fox4y，时间戳是2016年9月4日，别人利用这个木马文件就可以控制这个网站，可以通过木马文件修改网站页面。4.证人证言（1）马某的证言（上海一迅信息有限公司技术员）、上海一迅信息有限公司提供的用户信息，证明：IP（58.221.60.117）是其所在的上海一迅信息有限公司公司租的南通电信IDC机房的，用于提供VPN服务。有ｇａｏ×××＠ｇｍａｉｌ.ｃｏｍ的账户信息，注册时间为2017年2月25日，注册IP171.214.198.16（四川成都电信），最后一次登录时间2017年5月16日，IP171.214.198.251。（2）王某1的证言，证明：其没有办理过泉州农村商业银行的银行卡。2014年左右其办理护照和往来港澳通行证，但一直没有使用过，没有出境过。其不认识汤某，未给汤某汇过款。（3）樊某的证言，证明：其没有办过工商银行卡，没有出过国，不认识汤某。（4）高某的证言，证明：其没有出过国，没有办理过工商银行卡，不认识汤某。（5）陈某2的证言，证明：其没有办过卡号为62×××89的中信银行卡，也没有出过国，不认识汤某。（6）张栋强的证言（南通亿流网络有限公司客户经理），证明：其公司地址在南通市港闸区，提供服务器托管等业务。支付宝账号ｌｕｇ×××＠ｇｍａｉｌ.ｃｏｍ在其公司租用了两个vps服务器，IP为58.221.181：20081和58.221.44.205:23771，58.221.44.205:23771服务器登录的QQ有44997、354776；58.221.181：20081这台服务器的登录IP有柬埔寨的，在历史记录里有远程连接记录106.186.127.21:3306，用户名：de，密码：de12bb3de。5.被告人供述和辩解被告人汤某在侦查阶段的供述、辨认笔录，证明：其最开始是在2010年，开始在网络上面自己找教程学，尝试从网站的后台用默认用户名和密码进去。大概在两、三年前的时候，其自己尝试突破技术，在网络公开的社区、网站和QQ群里面找技术贴，学了注入、上传、抓包改包等，其还在QQ群里面和大家交流，看了web白帽子、kali、前台入侵技术、代码审计等相关的内容。大概到一年前，其加入的QQ群里面有人发单子出来，只要拿到了指定网站的webshell，对方就会付费，价格一般是一个网站的webshell值500元，其就接单子，其前后这样拿了大概50个网站的webshell，这些网站不是其的，也不是发单子的人的，是别人。后来在2016年1月份的时候，柬埔寨的人通过skype找到其，通过给其固定工资的方式，雇其给对方提供不计数量的webshell，2016年给对方提供的不多，2017年提供的多些。前后其给对方提供了大概1000个webshell，一直到被公安机关抓到。其虚拟机里存储的webshell有90%是其自己非法入侵后取得控制权，剩下的是从QQ群、其他网站等地方获得后筛选出存活的、有效的存储下来，共卖了500个左右的webshell。柬埔寨方都是把工资和奖金直接转到其农业银行卡上，交易记录一共105笔，5000元以上是工资，5000元以下的都是其拿webshell奖励。其中2016年6月15日赵某2向其转账16800元，是赵给其的学费和路费，2017年5月12日王某1转给其的50000元是其向柬埔寨方借来给老婆看病的。汤某辨认出QQ昵称为“幽月”的人为谭某。6.电子数据（1）如皋市公安局接受的网站文件，证明：安徽省第一装备网、南京市溧水区区工委网站、沭阳县人民医院的网站、陕西泰山置业集团网站被植入木马非法控制的情况。（2）如皋市公安局提取汤某手机中的支付宝交易记录，证明：汤某的非法获利情况。（3）如皋市公安局网络安全保卫大队制作的电子证据检查工作记录，证明：从汤某作案使用的外星人笔记本电脑中提取涉案文件。（4）如皋市公安局网络安全保卫大队制作的提取笔录，证明：如皋市公安局从汤某iphone6s手机中提取了skype聊天记录，有汤某向他人提供webshell的记录。（5）如皋市公安局网络安全保卫大队制作的电子证据检查工作记录，证明：从汤某的iphone5s手机中提取了电子数据，通讯录中有“李哥（幽月）”。（6）如皋市公安局自支付宝（中国）网络技术有限公司调取的支付宝注册信息，证明：449×××＠ｑｑ.ｃｏｍ、131××××9355支付宝账号实名登记为谭某。7.鉴定意见（1）盘石软件（上海）有限公司计算机司法鉴定所出具的[2017]127号计算机司法鉴定意见书，证明：webshell被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。从汤某电脑中提取的虚拟机文件中提取出webshell共计3457条，其中检测出连接有效webshell条数为85条。（2）盘石软件（上海）有限公司计算机司法鉴定所出具的[2017]196号计算机司法鉴定意见书，证明：鉴定机构对IP为106.186.127.21的日本服务器内的数据库文件进行了远程固定，数据库内记录有5603条网址记录（去重），有3292233565个暗链记录，任意查看一个链接，发现链接有赌博网站。127号鉴定意见中ECD01光盘中“MDB文件webshell内容.txt”文件去重后共得1642条webshell。该用户在被挂暗链网站域名，经与查获的汤某的webshell进行比对共有340条重复记录。本院认为，被告人汤某违反国家规定，对国家事务、国防建设、尖端科学以外的计算机信息系统实施非法控制，情节特别严重，其行为已触犯刑律，构成非法控制计算机信息系统罪。案发后被告人汤某能如实供述自己的犯罪事实，可以从轻处罚。公诉机关指控被告人汤某犯非法控制计算机信息系统罪，事实清楚，证据确实、充分，指控罪名正确，提请从轻处罚的理由成立，本院予以支持。被告人汤某自愿认罪，可以酌情从轻处罚。对辩护人基于上述量刑情节，建议对被告人汤某从轻处罚的辩护意见，本院予以采纳。据此，依照《中华人民共和国刑法》第二百八十五条第二款、第六十七条第三款、第六十四条、《最高人民法院、最高人民检察院<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>》第一条之规定，判决如下:

一、被告人汤某犯非法控制计算机信息系统罪，判处有期徒刑三年三个月，并处罚金人民币五万元。（刑期从判决执行之日起计算。判决执行前先行羁押的，羁押一日折抵刑期一日。即自2017年5月28日起至2020年8月27日止，罚金于本判决生效后一个月内缴纳。）二、如皋市公安局扣押的被告人汤某作案工具笔记本电脑1台，予以没收，上缴国库；如皋市公安局扣押的被告人汤某手机2部、移动硬盘2部、华夏银行卡、农业银行卡各1张（均暂存于该局），由该局依法处理。继续追缴被告人汤某违法所得人民币40万元，予以没收，上缴国库。如不服本判决，可在接到判决书的第二日起十日内，通过本院或者直接向江苏省南通市中级人民法院提出上诉。书面上诉的，应当提交上诉状正本一份，副本二份。