认真讨论一下“无锡暗网色情案”是如何暴露身份的，以及如何避免？

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

品葱用户 八千万的清单 提问于 4/9/2021

https://zhuanlan.zhihu.com/p/138924167
墙内链接：全国首个暗网案告破！

根据上面链接和搜索出来的其他文章我们能知道的信息比较有限，但是有几个是可以确定的：

1. 王某使用了大概率使用了前置代理 + tor： 且自恃所使用的是斯诺登推荐的强加密系统那基本上可以确定是 Tails 操作系统了，结合犯案时间为 2017年前后，此时已经无法直连 Tor 节点了，必须使用前置代理

2. 王某使用了某种支付 从2017年开始租用境外服务器在暗网上架设淫秽网站论坛

同时存在几个疑点：

1. 网站规模如此小却被暴露，反而91/品葱这样的知名站点却无恙 网站用户达60506个，淫秽色情视频51部，色情图片214张这个黄网规模实在是太小了，连大部分电报群都比他强多了

2. 像“丝绸之路”这样的暗网，NSA花了3年时间，最后是通过社会工程学将站点爆破的，CCP的技术水平是肯定没有NSA强的，通过技术手段爆破王某的概率比较小，所以我个人觉得王某被爆破也是因为社会工程学的原因 包括之前“模拟健康码”的作者也是因为 CSDN 的用户名和 google 商店的用户名相同而暴露的

对于像王某这样的站长如何做防范：

      角色互换，现在把自己当作 CCP，你发现了一个境外色情/反动站点：

1. 确定 服务器供应商、WHOIS 信息 如果服务器供应商 / 域名提供商在中共国有任何业务，那大概率被交出用户信息2. 确定 服务器公网 IP 地址 CCP 可能会监视对此服务器的请求，尤其是 对 22 端口的 ssh 连接3. 攻击这个站：注入/DDOS/XXS等 注入和XXS是主要的，CCP肯定会想尽方式把自己的代码嵌入站点页面当然，暴力破解 ssh-key 也是有可能的，根据斯诺登 2013年的解谜，NSA就做过这种事

对于以上措施的防范：

1. 选择服务器供应商/域名供应商时选择口碑好的，在中共国没有任何业务的 同时，为了降低攻击面的粒度，一个账号只做一件事：比如购买服务器的账户不要来买域名，另外新开一个邮箱注册一个新的账户来注册域名，同时也选择不同的供应商，不要所有东西都在一家买2. 跳板机 + CDN，ssh连接时必须前置代理 + tor 品葱就是使用的 cloudflare 的 CDN对于 ssh 是否启用了 tor，可以检查 /var/log/secure (红帽系)，/var/log/auth.log (Debian系)里面的 ip 是否是 tor 节点里的 ip:可以先限定 tor 的出口国家，然后检查那个 ip 是否来自那个国家3. 服务器端的安全比较复杂，系统安全、应用安全、数据库安全等等 先说系统安全：服务器的操作系统只选择最新的 LTS 版本，并随时留意安全动向，有安全补丁立刻打上。把ssh的密码登陆关闭，只允许使用ssh-key登陆，并且 ssh-key 的加密方式不要使用 rsa，推荐使用 ecdsa，密钥长度永远设置为允许长度的最长，ecdsa 最长是 521 位。只开启需要的端口，一般是 80、443、22应用安全：当然，全部开源是必须的，全部最新的 LTS 版本也是必须的，有一个东西经常被忽略，就是开启生产模式。网站的权限必须要明确，见过很多站长全程 root数据库安全：这个讨论范围同样太大了，我在这里只说一个，存密码这样的哈希之后的数据的数据，不要只哈希一下就存了，必须要用盐粒，而且最好还是动态盐粒，同时注意时序攻击，不要直接用 === 来校验用户密码4. 关于支付 这里主要是安全获取数字货币的办法，中共国现在对于数字货币的监管已经到了变态的地步，之前见过某个交易所连进行交易都需要人脸识别，且必须在手机app上进行操作。但是现在即使是欧盟也要求用户登陆之后才能使用数字货币了（bitpay）。对于获取，可以线下直接找矿工买他挖出来的，没有经过任何交易所的btc，当然这个局限性也很大，你必须认识可信的矿工。也可以使用混币的方式来获取：我自己是在日本的交易所购买的btc，再在z-coin和门罗币之间互换，btc的交易全部都在区块上，而z-coin和门罗币这样专门为匿名设计的货币不存在这个问题。日本现在也是要求用户必须是日本国公民才可以进行数字货币买卖，但是监管得很水，只会要求手机号码，而日本的手机号码还是很好匿名获得的

当然，以上的所有涉及联网操作都需要前置代理 + tor

以上是我对于王某之所以被爆破的猜测和想法，一定还有什么遗漏的，尤其是对于王某是怎样被 CCP 爆破的，还希望广大葱友提供不同的观点和视角，共同提高我们的反侦察能力

品葱用户 王德成 评论于 2021-04-09

用境内支付手段吗？
用就暴露。
不用的话，怎么赚钱？
只收虚拟币？你指望上来找个片看撸一管的人，
还要先去学习如何使用虚拟币来给你支付？
墙内虚拟币也越来越难买了。
到处都有片可看，我何必在你这折腾？
用什么支付方式不是你能选择的，是要迎合用户需求的。

而且啥暗网，没有说的那么高大上，
这不就是境外租赁服务器搭设网站吗。。。

只要线上和线下产生了一个交叉点，
就一定能查到。
而你想赚钱就不可能不线下变现。
这个突破点就是支付环节。
哪怕你用的是假卡，别人的身份证信息注册的银行卡，
只要想，也能理清你的转账关系。
因为你迟早要把钱弄到自己账户的。

你说现金？用户线上不可能支付给你现金
你只能用卡收钱之后线下取钱。
取钱到处都有摄像头。
就算你请别人忙你取钱，只要抓到这个人，
顺藤摸瓜一通审，就把你身份供出来了。
撬开人的嘴远比破解你的密钥容易。

对于像王某这样的站长如何做防范：
肉身翻墙，拿美国护照，美利坚合法注册。
永不踏上中国以及仆从国（泰国等）领土。
草榴被抓的永远是在国内那些下线，主要管理人员全部美利坚
你中国警方查去吧，查到了，
开色情网站在美利坚也不违法，
美国警方不会配合你调查，
美国的服务商也不会给你提供服务器注册信息。

汝工作室会被抓吗？刘玥会被抓吗？
麻豆传媒会被抓吗？swag创始人会被抓吗？
这些都是露脸了的，身份都是公开。
还不是一样没法抓。
与其想着怎么弄这些隐藏身份，
不如换本护照然后跑到一个根本不鸟中国引渡请求的国家
虽然也不是绝对安全，红通就有抓回来的，
但是你只是搞个小网站的话，是不值得动用这些资源跨半个地球抓你的。

斯诺登能逃到今天，靠的也不是隐藏身份。
而是全世界都知道我在这，
但是当地司法系统就是不会配合你抓我。
而丝绸之路创始人处心积虑处处隐藏身份，
最终还是被连人带证据一起抓到了。

没有这些条件就别想着搞这些玩意了，
想抓都能抓，只不过你搞的动静小还没关注到你，
或者还不值得动用这些资源去抓你。

品葱用户 TYCFY 评论于 2021-04-09

可能性最大的就是因为支付问题吧 既然几万个用户那其中难免有手贱去举报的 更何况还有非用户路人
要是再用什么微信支付宝之类的墙里的东西收钱那不等着上钩么 就算是墙外的支付工具也一样 毕竟用的都是别人开发出来的软件 只要是存在像收付款这样的交互行为那就有被举报的风险 地球上什么都缺就是不缺闲的没事干的

品葱用户 kasbullana 评论于 2021-04-09

我觉得被抓问题不是出于网站本身的安全和加密通信上，而是很多人所忽略的国产手机/浏览器/输入法/聊天软件，这些才是信息安全的薄弱点。国产手机自不用多说大家都懂，国产软件基本全是内置各种后门监控代码的，早就有人通过抓包发现这些软件总是不定时向不明服务器上传数据，你在国产软件上干的事情基本可以被匪警看得清清楚楚，匪警还没上门只是你暂时还没被抓的价值。

尤其是一些什么QQ微信，根本是没有公钥加密的，腾讯完全掌握你的通信内容，并且后台自带AI敏感词检测+大数据身份关联。所以我现在看一些人在网上晒自己用微信约炮聊骚的聊天记录还沾沾自喜，我就觉得相当好笑，这些人不知道自己所有干的这些丑事都被后台看得清清楚楚，发的各种自拍淫照都会被存在地球上某个角落的大数据服务器里直到地老天荒，直到哪天成为匪的维稳对象后就会被拿出来对付你。

品葱用户 江苏理科第一名 评论于 2021-04-09

最主要就是因为要赚钱
涉及到支付，尤其是线上的，基本就总能找到你了

品葱用户 天下无贼 评论于 2021-04-10

域名服务商，主机供应商，电子支付供应商。这三个都有可能泄密。

我曾经询问过一些比较有名和老牌的廉价VPS供应商，如果中国相关部门要他们交出我的信息，他们一般回复都是“会照办”。不过我没有特别研究过哪些供应商可以保密，因为买主机是为了公司的业务，所以最后还是买了那些并不承诺保密的供应商的主机，没再研究下去。

品葱用户 范松忠 评论于 2021-04-10

別的我不懂，我只想问一句，那些自媒体经常推荐购买VPN什么的，目前虽然好像还没有，但终归，习杂种会通过支付管道找到购买者的。这也是跟美国学的，美国经常玩Follow the money，习杂种自然更娴熟这一套，手机支付就是为了这个阴谋！

还买什么收费VPN！赞一下我不信仰的法轮功，无界、自由门就是好！

品葱用户 billzt 评论于 2021-04-09

日本怎么匿名获得手机号？给非居民使用的prepaid SIM卡只有上网功能，没有语音和短信功能的

品葱用户 rts 评论于 2021-04-09

看个盗版AV还要花钱的用户，你还指望他们去用什么加密货币么，肉身在墙内，使用墙内的支付工具收款，想查到你还不是分分钟的事。

品葱用户 fpqczy 评论于 2021-04-10

就如同知乎中高赞评论一样，这玩意就是一个网站。比如在tor i2p之类上假设的网站时不需要域名的。
这人就是建了一个黄网，在支付过程中暴露了自己。

品葱用户 oHo 评论于 2021-04-10

关于支付确实是个问题。 不知道能不能通过境外账户转账支付 然后再走一些灰色渠道 洗钱入境内。 没有做过这种事情， 或许是个很naive的提议。

品葱用户 睡觉流口水 评论于 2021-04-10

据说此案不是一般的“视频”，是自制童车。暗网童车必定是只收加密货币支付的。

所以我猜条子是从人脸识别以及风景、建筑、器具等方面入手的。

另外，反对童车。

点击品葱原文参与讨论

最简单好用的 VPS,没有之一，注册立得 100 美金