买个E3差点被坑去【破案完结，吃瓜吃瓜】

暗白黑夜

本帖最后由 暗白黑夜 于 2022-3-22 22:42 编辑

在讲故事开始之前，我得提前声明，这是本人昨天刚经历的事情，得我自己昨晚差点撕裂，不过幸好我留了一手解决了，但当时没保留几张截图，这事儿估计想封他号估计也不行，因为没有太多证据，只有一点点截图，信的话就信，不信的话请各位大佬当个故事或笑话听就好了，请各位大佬嘴下留情，理兴交流



事情发生在昨天我出售E3MSDN 25TB的时候，中午就已经与一个老板谈好了，说要在晚上20点之前回他，在19点多的时候，我就上机了，但在我登录账号的时候出现了问题，一直提示密码错误。

我一想不应该呀，因为我修改密码的时候都会把密码记录在记事本上，以防万一怕忘了，然后我又疯狂的去试了那些平常我会使用的密码，结果都错了，这时候我意识到不对了，我的号应该是被人修改了密码

第一反应其实是认为是不是有一些扫账号的人，把我的号盗走了，但是仔细一想也不太可能，因为我密码设置的其实很复杂，而且我的前缀都改了，所以应该是被知道这个号的人盗回去了，绝不可能是微软的人锁的，因为微软的人锁了，他们会提示：您的帐户已被锁定。请与技术支持人员联系以解锁帐户，然后重试。

所以基本可以断定是原号主偷回去了，之后我去看了我原先全局绑定的那个邮箱。果然在3月12号的时候，被修改了密码。






不过遇事要冷静，刚开始最坏的想法就是大不了损失1500，冷静下来之后，回想一下自己原先是有先设置提API的，原本E3就有一些被锁的传闻与事实，为了以防万一，我就提前设置了，当时是没想到原本是为了防止微软，没想到在这种时候用上了，也挺讽刺的



赶紧回头测试一下，发现API还在，还好还好，到这儿其实算是松了一口气，之后就是另一个问题，如何使用API，因为我原先使用API就是使用网上大佬网传的脚本，先预留一个子账号，然后运行脚本，将子账号设置成全局管理员，所以不太了解，不过相关的权限肯定是给了的，不过在E3里我没有预留子账户，所以这就是对我来说唯一的难点了

还好我想起论坛里有几个大佬，原先有发布相关的项目，在此我特别感谢大佬的这个项目，简单易懂，又能手动输入API
https://hostloc.com/thread-856880-1-1.html
感谢您

之后就非常简单了，宝塔布置项目API填进去，然后直接使用，

我看见我设置的全局管理员账号被阻止登录了，结合前面的邮箱邮件来看，说明原号主先将我的账户阻止登录，然后再修改了密码，并且我看到他的全局管理员的登录日志，显示的是中国杭州，

我最先做的，就是先将除我新开的全局管理员的所有子账户以及账户全部阻止登录，然后假装萌新去与原号主交流，说自己的账户登录不上去了，也编了各种各样的事情来忽悠他，看看他有什么反应，为了装萌新装的更彻底一点，我甚至还问他还剩一个E3卖不卖？A1P多少钱卖？以此来看看有什么反应，结果我刚开口，他就直接登录了他的那个账户，我这边就马上看到了登录记录，124开头，IP查询得知是中国浙江宁波慈溪，应该是这个地方，也充分做实了就是他干的好事，他贪了

当时在与几位好友边聊他的事边忽悠他，看看他什么反应，不过最后也没干出啥来，各种套路他的话，最后也就内涵了他几句，顺道根据登录记录证明了就是他的所作所为

好友聊天截图
https://sm.ms/image/VANQHeES9vPiksI
https://sm.ms/image/yB6DsPNkjvHWX78
https://sm.ms/image/q94EZ2mdlsAi7hn
https://sm.ms/image/m8KBu5NEIiDSGoX
https://sm.ms/image/I4nRk8Kh2Fay1XW
https://sm.ms/image/hkTIaMLlP3e2KEs
https://sm.ms/image/RjKLC2QlYdhq6T5

与"大佬"的截图
https://sm.ms/image/djRyHSUkzfAWcGs
https://sm.ms/image/WklQVO47bRoSf2L





您说您有啥好装的呢？这个账户就是我修改前缀的全局管理员啊，您的全局管理员账号是这个呢





套您话之后您的登录记录我还拍了照呢





您的登录记录就5次啊，您看看我的，我当时试了20多次






好了不扯了，其实本身与您交易还算流畅，尊称您为大佬，感觉你应该还算诚信，所以我的子账户也没有删，也没有管，被你盗回去了之后，我就最后内涵的几句，以及前面一堆套话的交流，没删除账户您就贪心起来了吗，不过原本也是打算这么算了的，最后内涵你几句告诫一下了，直到您今天发出的这一段话属实让我破防了




什么叫你的号？这TM我的！我买的你盗回去的！

最后也是在昨天顺利的完成了交易，号已经出售给一位大佬了，并且教了他API的创建教程，以及部分相关知识，最后各位大佬论坛交易请谨慎一点





账号因出售原因，所以打码，这位"大佬"，我就不放你名字了，反正帖子里的大佬应该是能找到你的（就在本站，刚回复没多久），言尽于此吧，就这样了



补图：




事件更新:
首先我与原号主的争议点在于：他说他卖给我的是一个空号，也就是说仅有admin一个主账号，但是我印象记得非常深，当时我就是剩下了好多个账号没有清理，并且我新创建的用户基本上都是以随机命名的方式进行的，也就是会直接打个首字母，因为当时为了扩容，没有命名的习惯，所以超过三个字符的账号我是肯定没有创建过的，当然这是我的一方说法，我在下面会接着说我的发现，请各位大佬仔细甄别


已经从号主那里获得了全局读取者账户，但非常可惜的是无法看到用户的创建时间了，因为通过微软的AAD
只能看到过去7天的信息

也就是说没有办法获得账号是什么时候创建的记录

但是还是获得了一些信息
审核日志：（能看到账户的更新情况，及账户的创建与删除）但是只在昨天有更新，也就是说在过去7天内，也就是说只有昨天有成员变动的情况






那么只能通过登录日志（可以看到登录情况）来查看了，果然获得了有用的信息：在3月16号的时候，那位我遗留下来的管理员，使用了新加坡的IP进行了登录，之后又在浙江宁波的IP进行了登录，但是之后又没有任何有用其他信息了，之后就是我在昨天21号疯狂登录失败的信息，然后就到了最关键的那部分信息了，首先我们可以从IP的登录地址看到最下方是我登录出错的消息，而中间是我通过API创建的全局管理员登录的消息，再上面才是最关键的，这个账户登录的时间是我和原账号号主扯皮的时间里的登录记录，在这同一段时间也就是说我刚和原号主交流，说我的账号无法登录，这个账号就有了登录消息，且这账号登录中间还有夹杂着16号登录新加坡的那个IP，也就是说他也开梯子尝试登录了一次，这就是所有了





昨天的登录记录：





聊天记录
https://sm.ms/image/mvQpwlcZNTDXAgF

因为有些涉及现号主的隐私，更多的记录我也不知道该如何整理了，我个人认为有价值的信息就只有这些了，再多的就没有了

最后依旧是靠大家去辨认吧，我个人依旧是我原来的观点:

这位"大佬"贪了



就这样吧


破案了


是我搞错了一个部分，那位大佬他说的真对，确实没有预留账户啊，但是我原先的全局管理员有个预留手机号，然后在12号的时候被重置了密码，密码重置之后，在12号创建了新的管理员，还绑了个香港电话号码，之后就是我说的地方了，把我的账户修改了密码，然后阻止了登录






补最后一张图





(解释：首先先把账号前缀改了，然后再把账号密码改了，辅助邮箱先没改，有辅助邮箱的原因微软就会发送一个提示，提示你密码修改了，告诉你最新的前缀)


事情到此告一段落，还是有点意思的，通过我和这位"大佬"更深入的交流，确实是了解到了更多，也确定了事实的真相，有点意思，希望您以后不谈，和您刚开始交易是真的信任您的，现在也没啥好说的了，您最后的操作是如此有技术性与目的性，真的让人无话可说

ChinaDNS

本帖最后由 ChinaDNS 于 2022-3-22 17:52 编辑



https://hostloc.com/forum.php?mo ... 27&pid=12185897

@jiyueye 来吃瓜

最后访问2022-3-22 17:30 嘿嘿
最后访问2022-3-22 17:47 嘿嘿
最后访问2022-3-22 17:51 嘿嘿

暗白黑夜

本帖最后由 暗白黑夜 于 2022-3-22 22:49 编辑

看到另一个账户的生成图确实在第一时间吓了一跳呢，不过这不就和我全局被改密码的日子是相同的吗？感谢您给了我新思路呢



您的速度也是真快呀，29分钟改我原全局密码，31分钟就创建了新的全局呢


帖子还有字数限制，只能加个置顶帖子
当时甚至有那么一瞬间以为是自己有问题，以为自己电脑中病毒了，还特地下了个360毒王和火绒一起扫我的盘



现在想想真有意思啊

三氧化二砷

一个人买账号不扬全局，一个人盗号不删除api

banker

图中大佬不是“jiyueye”吗？

暗白黑夜

telnetpig 发表于 2022-3-22 17:05

盗回去，不删所有api,水平也一般啊
他怎么找回密码的
这位大佬应该是不太了解这个圈子，不知道有API这种东西，昨天那个气呀，真的是骂的有够难听的

暗白黑夜

telnetpig 发表于 2022-3-22 17:05

盗回去，不删所有api,水平也一般啊
他怎么找回密码的
原先交易流畅，我认为这位大佬非常的可信，然后他留的子账号我就没有删除，没想到还留着全局管理员，12号左右他就给盗回去了

楚天歌

那个头像很眼熟啊，拉出来对质

biubiu

本帖最后由 biubiu 于 2022-3-22 17:05 编辑

所以是因为全局账号同意了子号的aip导致翻车吗？

我之前就厉害了，我刚买了E3，安全考虑，立马解绑了上面的域名，删了所有api，然后修改了全局用户名，然后被微软强制退出，然后我发现我不知道这个e3子域是什么....更惨的是卖家也忘记了....

omo.moe

我一直不懂，收了钱发完货又把货收回来的人和直接收完钱跑路到底有什么区别