奶奶的机器人九号三城迷雾 第二十章.山神的定时握手

山神系统的Agent有一个十五分钟定时与服务器握手的功能，而这个握手功能是通过加密认证的，以时间作为加密的条件，握手不成功则视为Agent认证失败。

黑狼的中间人程序提前阻塞了Agent的通讯，利用办公网络与内部核心网络联通的半小时，复制了全部的【动平衡拟脑算法】文件。5GB文件被切割成更小的数据文件，传送只用了十几分钟，但是，文件传输的时间恰巧卡在了第15分钟的地方，所以Agent认证失败，山神安全网警系统启动反击手段，反向入侵了【观景窗服务器】系统，并阻断了这台服务器所有对外的网络连接，最终阻断了3%的文件传输。

黑狼虽然有【观景窗服务器系统】的隐蔽用户和权限，而实际上并没有使用这个账户，而是用原有的【观景窗服务器系统】里面的动平衡用户去拷贝核心算法，所以山神系统没有发现。

由于Agent被阻塞，Agent的另一个功能开始运行，把阻塞的信息写入日志，后期林久浩查看日志，发现【观景窗服务器系统】被入侵，而且从磁盘使用变化，以及网络流量监控，推测，黑客用【观景窗服务器系统】做了传输中介，在这台服务器系统上，完成了切割数据包为小文件，同时加密，然后再传输出去。

整个过程是这样的，那个时间点，机器人研究所的安全监控工作室中。。。

“山神告警了，第一次告警了。”安全工程师紧急拨打了领导的电话，并把第一次告警报文发送给警方的信息接收系统。

“位于192.168.3.100这台设备的Agent的加密认证不对，这台是什么服务器？”安全主管问下属的安全工程师。

“这是刘工他们部门的，就是重心力臂动平衡测量用的服务器，我们现在怎么办？需要等警方还是厂家的服务人员来吗？”安全工程师焦急地问道，因为山神安全网警系统是最近刚刚安装的，机器人研究所的安全工程师还不能够熟练掌握。

“看一下这个，山神已经反向入侵了这台服务器，他们还没有来得及改变服务器的管理员用户密码，山神已经入侵进去了。”安全主管审查着山神的记录。

“主管？要不要断网。”安全工程师。

“不需要，你看，山神在网络层面阻断了这台服务器所有的外传数据包，并且阻断了所有非安全监控服务器的网络连接接入，也就是说从现在开始，只有我们能连接刘工的这台服务器。”安全主管边审查信息边说着。

“主管，也就是说，如果有黑客入侵，它已经失去了这台服务器的管理能力，网络数据流量这边也显示了，只有我们能到达这台服务器。”安全工程师。

“是的，你现在去看一下，主要从核心部分，物理隔离器，检查一下有没有其他的告警和异常。”主任安排好了后续工作，然后等待安全公司技术支持。

上午十点，林久浩来到了机器人研究所，受刘胖委托过来帮助检查山神的，刘胖要求林久浩在检查的时候，一直用电话保持联系。

林久浩到达机器人研究所安全监控工作间的时候，包括李子军在内的警察也已经到达了现场。

“哥，你来了。”李子军知道是林久浩，一声“哥”把林久浩叫懵了。

“哦、来了。”林久浩答应了一声，转身问安全主管：“主管，让我看一下情况”。主管指了一台电脑给林久浩操作。

“胖儿，听见了吗？我已经进入山神监控服务器了，你准备好了吗？”林久浩拨通刘胖的电话。

“老大，我在，不过需要等一下，这边有一位非常有经验的，厂家开发山神系统的安全工程师会和你通话，我把耳麦给他，给他了。”刘胖在切换通话对象。

电话另一边，“小林，你好，我是厂家这边的工程师，你叫我欧阳就可以了，我们开始吧。”传来一个中年男人的声音。

“你好，欧阳，我这边需要怎么操作？”林久浩。

“告诉我第一次告警的信息是什么？”欧阳。

“位于192.168.3.100的【观景窗服务器系统】的安全Agent的加密认证中断了，所以加密认证码由于时间不同步而失效。”林久浩回答。

“好的，查看一下，安全Agent的告警时间，把告警时间记录下来，通知安全人员检查这个时间点有没有其他异常。”欧阳在电话另一端指挥着。

“好的，安排了，你继续。”林久浩回答。

“查看一下，我们给山神制定的策略是，如果安全Agent失效，那么第一时间山神会反向入侵该服务器，并且在网络层阻断该服务器外传及内联的网络传输。”欧阳。

“我在这边查看了，山神这些动作都成功了，也就是在第一时间阻断了可能的损失。”林久浩一边操作一边回答。

“很好，我们现在去看一下那台服务器，是不是已经确认了，在告警的时候服务器运行正常，网络连接也正常？”欧阳询问。

“是的！”林久浩回答。

“如果服务器运行没有问题，大概率是黑客的攻击行为，我们现在登录【观景窗服务器系统】上看一下。”欧阳继续指导。

“已经登录了，你说，我这边怎么操作？”林久浩。

“查看一下服务器系统中的安全Agent是否在运行，现在向山神服务器发送的参数是否正常。”欧阳指导着。

“在系统进程里，而且山神那边也正常接收参数，一切正常。”林久浩同时查看着山神系统这边的参数接收情况。

“检查系统进程，把所有的进程看一下，有没有异常的。”欧阳继续。

“欧阳，我把全部进程和应用程序做了检查，这里有两个很怪的进程，看着不像系统的，我比对过了，INTERMEDIATOR-link，COPYitOUT，用户名没有。”林久浩。

“先不要碰它，这个INTERMEDIATOR-link进程有问题，用山神上的安全分析检测工具，看一下这个进程怎么工作的。”欧阳指导着。

“分析了，它在向我们的山神服务器发送固定的参数【平安无事】，中间人程序？”林久浩问道。

“应该是，也就是我们的安全Agent被阻塞了，而发送平安无事的是这个中间人程序。”欧阳。

“是的。”林久浩。

“小林，你查一下操作系统的日志，看看最后发生了什么？”欧阳继续。

“查过了，日志里记录了【一个新创建的目录下】的部分文件被传输了出去，这些文件大小不一，日志记录发现在这个目录里的最后一个文件，是同时间被创建的文件，并没有被发送出去。”林久浩说道。

“让研究所的人查一下这些文件，看是不是这台服务器上的文件。”欧阳。

“不像，欧阳，这些文件从创建时间上看，是安全Agent握手失败的前十分钟，但是，系统日志里没有这些文件的创建日志，奇怪。”林久浩。

“这些文件的创建时间是前十分钟，日志里面没有。。。”边上的几个人也感觉奇怪。

“握手失败前十分钟，好的，你去查一下在系统目录里有一个隐藏目录，Agent被阻塞后，应该把一些重要信息记录在那个目录里。”欧阳继续有条不紊地指导。

“好的，我现在做。”林久浩。

“。。。。。。”欧阳。

“看到了，今天上午的时间标签，应该是Agent被阻塞后，把信息写成文件保留在服务器里。”林久浩。

“先查看一下，Agent会重点盯着日志文件，日志是不是被修改了？”欧阳。

“Agent文件记录，日志文件被修改了三次，分别是Agent刚被阻塞的时间后四分钟后，然后是前一次后五分钟，然后是前一次后的三分钟，具体修改了什么，不知道。”林久浩。

“很好，很好，太好了，但愿，他们没有用系统认可的注册用户修改日志文件。”欧阳那边松了一口气。

“欧阳工，怎么太好了？”林久浩不明白。

“Agent有一个小的功能，是我们加进去的功能，当时专门针对【观景窗服务器系统】，如果不是系统用户修改日志文件，Agent会备份日志文件到一个隐蔽的目录。”欧阳。

“也就是说，第一次修改发生在三分钟，我们得到了一个三分钟时的日志。”林久浩。

“对，而且在那个隐蔽目录里面会有三个日志备份文件，分别打了三个时间标签，对应三次修改，去查看一下。”欧阳。

“好的，我现在去看。”林久浩说完，打开了目录，里面果然有三个文件。

“好，我们继续。”欧阳。

“打开第一个日志文件了。”林久浩。

“检查到了什么？”欧阳。

“第一个文件后面显示，从一个内部接口通过地址转换后的IP传入三个文件，看文件名应该是运行文件，packetZIP.EXE，COPYitOUT.EXE，COPYitIN.EXE。”林久浩叙述着。

“查这个地址转换后的IP地址对应的外部IP地址。”欧阳继续指导。

“好的，警方去查了。”林久浩。

“你继续看第二个文件。”欧阳继续。

“第二个文件里面，运行了COPYitIN.EXE，然后现在应该有两个程序在运行状态，COPYitIN.EXE、INTERMEDIATOR-link。”林久浩继续叙述。

“继续。”欧阳。

“COPYitIN.EXE删除盘上存储的COPYitIN.EXE源文件，从一个172.16.3.100的地址上传输了一个目录的文件，大约5GB，然后启动了packetZIP.EXE，并杀掉COPYitIN.EXE进程，同时删除盘上存储的packetZIP.EXE源文件。”林久浩。

“172.16.3.100地址，这是内部网的地址呀。”周围机器人研究所的安全工程师议论着。。。

“让研究所的人查一下这个172.16.3.100地址及被复制的文件是什么？你继续看第三个日志文件。”欧阳继续说道。

“第三个日志里面记录，用packetZIP.EXE对这些文件做了处理，根据刚才的情况，这个好像是压缩加密分割文件用的，运行后创建刚才外传的那组文件，同时删除用于加密的源文件，并修改了日志记录。”林久浩。

“你继续告诉我日志里面的情况。”欧阳。

“处理以后，启动了COPYitOUT.EXE这个应用，杀掉了packetZIP.EXE进程，同时把刚才的文件传出到一个外部IP地址，这个外部IP地址是上海地区的服务云，是。。。普洱茶爱好者服务器。”林久浩的手速很快，边说就边查到普洱茶爱好者服务器。

“后面呢？”欧阳继续询问。

“很奇怪，COPYitOUT.EXE没有运行完成，很奇怪，最后一个传输出去的文件，时间是14分59秒，他们居然把时间计算错了，所以，最后3%部分的文件传不出去，卡住了。”林久浩疑惑了。

“很奇怪，确实很奇怪，十五分钟，这个时间段山神不会发现的。。。黑客的所有行为，证明他的思维非常缜密，不应该犯这样的错误呀。”欧阳好像在思考着什么，继续：“好吧，我们继续”。

“后面没有了，这是第三个日志最后的情况，再后面就是山神启动了安全防范机制，反向入侵了这台服务器，并在网络层面阻断。”林久浩说道。

“我明白了，大致过程应该是这样的，小林，你可以记录一下，过一会儿告诉警方的人。”欧阳。

“好的，你说。”林久浩。

“首先，黑客通过那个IP地址转换对应的外部地址，进入了机器人研究所的办公网络系统，你们查一下，是从哪一个外部接口进来的。”欧阳。

“知道了，警方一直在查。”林久浩

“然后，黑客先攻击了【观景窗服务器系统】，手法是高级别的隐蔽安全后门，所以他们的所有操作都不会留下用户名称，包括修改日志文件。”欧阳。

“我们国家对操作系统做代码审查的，没有发现吗？”林久浩问道。

“很难，你怎么知道他们卖给你的就是你审查的，植入等量代码，无法从代码量对比发现，后期也可以通过隐蔽隧道传输，安装替换代码植入隐蔽后门，方法很多。”欧阳。

“这种都很难发现吗？”林久浩。

“很难，但是，不是没有办法，还有更难的，我们并不是对所有的软件做代码审查，例如【ET重心力臂动平衡测量软件】，必须安装【观景窗服务器系统】上。”欧阳继续解释。

“通过【ET重心力臂动平衡测量软件】修改【观景窗服务器系统】吗？”林久浩。

“不知道，【ET重心力臂动平衡测量软件】需要获得【观景窗服务器系统】最高权限，这个不是我们今天讨论的问题，我们继续说正事。”欧阳不想歪楼。

“继续。”林久浩。

“然后他们发现了安全Agent，由于害怕Agent影响他们的操作，所以定制了一个中间人程序，中转Agent与山神的信息通讯。”欧阳。

“这可能就是Agent丢了五秒钟参数的原因。”林久浩。

“插入中间人程序大概率会导致安全Agent延时发送信息，这一点我们在后期山神系统告警中需要增加进去。”欧阳。

“不过，他们加入了中间人程序以后，为什么没有第一时间，杀掉Agent，是不是知道我们有秘钥握手机制？”林久浩问道。

“小林，我教导过刘胖，做事要有耐心，先观察一下，这个黑客同样具备耐心，我低估他了，我设定的十五分钟握手，就是给没有耐心的黑客准备的。”欧阳。

“也就是黑客发现了这个机制？对吗？”林久浩问道。

“是的，他发现了这个机制，所以制定了整体计划在十五分钟内完成，黑客事先知道了172.16.3.100的文件位置，所以写好了程序。”欧阳。

“已经查清楚了，172.16.3.100这个地址在内部数据网计算云上的服务器，与办公网之间有物理隔离措施。”林久浩说道。

“肯定办公网与内部网络被联通了，否则无法拷贝文件，这一点让研究所的人配合警方去查，我们继续。”欧阳。

“继续。”林久浩。

“攻击开始，他们用中间人阻塞了Agent与山神的通讯，并接替Agent向山神发送【平安无事】，接替时间恰好在秘钥握手的一个完整周期的开始点。”欧阳。

“如果不阻塞Agent，他们是不是就可以成功完成入侵，并不被发现？”林久浩。

“如果不阻塞Agent，对于他们来说更危险，因为他们无法获得Agent的所有监控参数，一旦开始在服务器上运行文件，并大数据量拷贝复制切割文件，一旦触发Agent，就会导致任务不确定性，事实上我们的Agent监控的参数比【平安无事】要多。。。这是高手，他决定阻塞Agent是很明智的，但是。。。时间怎么回事。”欧阳解释了阻塞的原因。

“时间，就是他算错了时间，导致没有100%完成。”林久浩。

“不应该呀，这个黑客思维缜密，从他制定的程序就可以看出来，所以，他对时间的估算只能提前，不可能超过十五分钟，但是，现在确实发生了超时现象，我们现在还不知道为什么。。。”欧阳边说边思考。

“是不是？哦对了，查过来，那个时间点，这台服务器上没有大的应用，而且网络层面也没有出现故障延迟，所以，只能认为，黑客把时间估算错了。”林久浩。

“不应该呀。。。好吧，我们继续吧。”欧阳。

“好的，然后拷贝三个运行文件进来，地址查明了，泰兰国的IP，不过，VPN用户是我们上海的一位员工，他在泰兰国旅游。”林久浩把刚查出来的信息也通报了。

“我们上海分所的员工，使用VPN用户登录的，他的上网行为有异常吗？”欧阳继续询问。

“只是做了他平时的工作，工作时间也符合平常习惯，不过，查到一个现象，VPN登录的时候，激活了一次告警，不过，很快就恢复了。”林久浩。

“要赶快通知警方，这个工程师有危险了。。。我们继续。”欧阳。

“知道了，警方已经去查询这个工程师现在的情况，我们继续。”林久浩。

“他们启动了COPYitIN.EXE，从172.16.3.100的目录位置拷贝了文件，启动packetZIP.EXE文件，杀掉COPYitIN.EXE，由packetZIP.EXE在服务器上打包加密、拆包分割成多个小文件。”欧阳。

“他们太肆无忌惮了，这么猖狂。”林久浩。

“是的，他们拥有隐蔽用户和最高的权限，所以这么做是最好的方法，启动COPYitOUT.EXE，然后杀掉packetZIP.EXE，并把分割好的文件，上传到普洱茶爱好者服务器上。”欧阳。

“结果是，后面3%没有完成，奇怪？”林久浩。

“对的，这个黑客把时间算的太精准了，也许中间什么地方出现了问题，导致时间延迟了，所以没有按照他的计划完成。”欧阳。

“如果完成是什么情况？”林久浩问道。

“如果完成的话，会删除所有被分割后的小文件，然后杀死中间人程序，同时修改日志，然后COPYitOUT.EXE自杀。”欧阳回答。

“所有痕迹都销毁，幸好，现在没有完成，COPYitOUT.EXE还在一直查找去【普洱茶爱好者服务器】的路由，这是因为山神阻断了所有发出的数据包，导致网络连接中断了。”林久浩。

“是的，所以COPYitOUT.EXE也没有继续下一步，删除这些被分割后的文件，这很好。。非常好。”欧阳。

“怎么了，欧阳工，又是什么好事情？”林久浩。

“是好事情，查找172.16.3.100服务器上被拷贝的文件，然后与这些文件做比对，我们更容易破译他们这次用的加密程算法，这个加密算法对我们有用。”欧阳。

“欧阳工，这一次黑客攻击，虽然，大概有3%的信息没有被传出去，遗憾的是，他们拿走了97%的数据文件。”林久浩。

“最后一个文件，居然不知道什么原因卡住了，没有传出去？”欧阳很疑惑，还在思考着这个问题。

“影响很大吗？他们拿走了很多，是不是不差这个文件？”林久浩。

“好了，就到这里吧，他们什么也拿不走。”欧阳肯定的说道。

“什么也拿不走？”林久浩。

“对，另外，小林，请你下午再去一下公安局那边，看一下昨天的交通事故情况，我们还是这样连线分析。”欧阳。

“公安局那边，他们允许我看事故现场吗？”林久浩看了一眼，一直在边上的李子军，李子军耸了耸肩，表示不知道。

“放心吧，我已经联系好了，直接找谭处，他会安排人帮你查看所有事故的相关信息。”欧阳很肯定。

“好的，知道了，找谭处。”林久浩听着对方挂了电话。

“哥，谭处是我师父，我们信息科技处的处长。”李子军听提到谭处，赶快做了解释。

“子军，下午去你们那里。”林久浩。。

下一章节==《第二十一章.车祸视频排查》