第二十章.山神的定时握手

一，日志记录发现在这个目录里的最后一个文件，是同时间被创建的文件，并没有被发送出去。”林久浩说道。

    “让研究所的人查一下这些文件，看是不是这台服务器上的文件。”欧阳。

    “不像，欧阳，这些文件从创建时间上看，是安全Agent握手失败的前十分钟，但是，系统日志里没有这些文件的创建日志，奇怪。”林久浩。

    “这些文件的创建时间是前十分钟，日志里面没有。。。”边上的几个人也感觉奇怪。

    “握手失败前十分钟，好的，你去查一下在系统目录里有一个隐藏目录，Agent被阻塞后，应该把一些重要信息记录在那个目录里。”欧阳继续有条不紊地指导。

    “好的，我现在做。”林久浩。

    “。。。。。。”欧阳。

    “看到了，今天上午的时间标签，应该是Agent被阻塞后，把信息写成文件保留在服务器里。”林久浩。

    “先查看一下，Agent会重点盯着日志文件，日志是不是被修改了？”欧阳。

    “Agent文件记录，日志文件被修改了三次，分别是Agent刚被阻塞的时间后四分钟后，然后是前一次后五分钟，然后是前一次后的三分钟，具体修改了什么，不知道。”林久浩。

    “很好，很好，太好了，但愿，他们没有用系统认可的注册用户修改日志文件。”欧阳那边松了一口气。

    “欧阳工，怎么太好了？”林久浩不明白。

    “Agent有一个小的功能，是我们加进去的功能，当时专门针对【观景窗服务器系统】，如果不是系统用户修改日志文件，Agent会备份日志文件到一个隐蔽的目录。”欧阳。

    “也就是说，第一次修改发生在三分钟，我们得到了一个三分钟时的日志。”林久浩。

    “对，而且在那个隐蔽目录里面会有三个日志备份文件，分别打了三个时间标签，对应三次修改，去查看一下。”欧阳。

    “好的，我现在去看。”林久浩说完，打开了目录，里面果然有三个文件。

    “好，我们继续。”欧阳。

    “打开第一个日志文件了。”林久浩。

    “检查到了什么？”欧阳。

    “第一个文件后面显示，从一个内部接口通过地址转换后的IP传入三个文件，看文件名应该是运行文件，packetZIP.EXE，COPYitOUT.EXE，COPYitIN.EXE。”林久浩叙述着。

    “查这个地址转换后的IP地址对应的外部IP地址。”欧阳继续指导。

    “好的，警方去查了。”林久浩。

    “你继续看第二个文件。”欧阳继续。

    “第二个文件里面，运行了COPYitIN.EXE，然后现在应该有两个程序在运行状态，COPYitIN.EXE、INTERMEDIATOR-link。”林久浩继续叙述。

    “继续。”欧阳。

    “COPYitIN.EXE删除盘上存储的COPYitIN.EXE源文件，从一个172.16.3.100的地址上传输了一个目录的文件，大约5GB，然后启动了packetZIP.EXE，并杀掉COPYitIN.EXE进程，同时删除盘上存储的packetZIP.EXE源文件。”林久浩。

    “172.16.3.100地址，这是内部网的地址呀。”周围机器人研究所的安全工程师议论着。。。

    “让研究所的人查一下这个172.16.3.100地址及被复制的文件是什么？你继续看第三个日志文件。”欧阳继续说道。

    “第三个日志里面记录，用packetZIP.EXE对这些文件做了处理，根据刚才的情况，这个好像是压缩加密分割文件用的，运行后创建刚才外传的那组文件，同时删除用于加密的源文件，并修改了日志记录。”林久浩。

    “你继续告诉我日志里面的情况。”欧阳。

    “处理以后，启动了COPYitOUT.EXE这个应用，杀掉了packetZIP.EXE进程，同时把刚才的文件传出到一个外部IP地址，这个外部IP地址是上海地区的服务云，是。。。普洱茶爱好者服务器。”林久浩的手速很快，边说就边查到普洱茶爱好者服务器。

    “后面呢？”欧阳继续询问。

    “很奇怪，COPYitOUT.EXE没有运行完成，很奇怪，最后一个传输出去的文件，时间是14分59秒，他们居然把时间计算错了，所以，最后3%部分的文件传不出去，卡住了。”林久浩疑惑了。

    “很奇怪，确实很奇怪，十五分钟，这个时间段山神不会发现的。。。黑客的所有行为，证明他的思维非常缜密，不应该犯这样的错误呀。”欧阳好像在思考着什么，继续：“好吧，我们继续”。

    “后面没有了，这是第三个日志最后的情况，再后面就是山神启动了安全防范机制，反向入侵了这台服务器，并在网络层面阻断。”林久浩说道。

    “我明白了，大致过程应该是这样的，小林，你可以记录一下，过一会儿告诉警方的人。”欧阳。

    “好的，你说。”林久浩。

    “首先，黑客通过那个IP地址转换对应的外部地址，进入了机器人研究所的办公网络系统，你们查一下，是从哪一个外部接口进来的。”欧阳。

    “知道了，警方一直在查。”林久浩

    “然后，黑客先攻击了【观景窗服务器系统】，手法是高级别的隐蔽安全后门，所以他们的所有操作都不会留下用户名称，包括修改日志文件。”欧阳。

    “我们国家对操作系统做代码审查的，没有发现吗？”林久浩问道。

    “很难，你怎么知道他们卖给你的就是你审查的，植入等量代码，无法从代码量对比发现，后期也可以通过隐蔽隧道传输，安装替换代码植入隐蔽后门，方法很多。”欧阳。

    “这种都很难发现吗？”林久浩。

    “很难，但是，不是没有办法，还有更难的，我们并不是对所有的软件做代码审查，例如【ET重心力臂动平衡测量软件】，必须安装【观景窗服务器系统】上。”欧阳继续解释。

    “通过【ET重心力臂动平衡测量软件】修改【观景窗服务器系统】吗？”林久浩。

    “不知道，【ET重心力臂动平衡测量软件】需要获得【观景窗服务器系统】最高权限，这个不是我们今天讨论的问题，我们继续说正事。”欧阳不想歪楼。

    “

    （本章未完，请点击下一页继续阅读）