第二十章.山神的定时握手(1 / 2)

山神系统的agent有一个十五分钟定时与服务器握手的功能,而这个握手功能是通过加密认证的,以时间作为加密的条件,握手不成功则视为agent认证失败。

黑狼的中间人程序提前阻塞了agent的通讯,利用办公网络与内部核心网络联通的半小时,复制了全部的文件。5gb文件被切割成更小的数据文件,传送只用了十几分钟,但是,文件传输的时间恰巧卡在了第15分钟的地方,所以agent认证失败,山神安全网警系统启动反击手段,反向入侵了系统,并阻断了这台服务器所有对外的网络连接,最终阻断了3%的文件传输。

黑狼虽然有的隐蔽用户和权限,而实际上并没有使用这个账户,而是用原有的里面的动平衡用户去拷贝核心算法,所以山神系统没有发现。

由于agent被阻塞,agent的另一个功能开始运行,把阻塞的信息写入日志,后期林久浩查看日志,发现被入侵,而且从磁盘使用变化,以及网络流量监控,推测,黑客用做了传输中介,在这台服务器系统上,完成了切割数据包为小文件,同时加密,然后再传输出去。

整个过程是这样的,那个时间点,机器人研究所的安全监控工作室中。。。

“山神告警了,第一次告警了。”安全工程师紧急拨打了领导的电话,并把第一次告警报文发送给警方的信息接收系统。

“位于192.168.3.100这台设备的agent的加密认证不对,这台是什么服务器?”安全主管问下属的安全工程师。

“这是刘工他们部门的,就是重心力臂动平衡测量用的服务器,我们现在怎么办?需要等警方还是厂家的服务人员来吗?”安全工程师焦急地问道,因为山神安全网警系统是最近刚刚安装的,机器人研究所的安全工程师还不能够熟练掌握。

“看一下这个,山神已经反向入侵了这台服务器,他们还没有来得及改变服务器的管理员用户密码,山神已经入侵进去了。”安全主管审查着山神的记录。

“主管?要不要断网。”安全工程师。

“不需要,你看,山神在网络层面阻断了这台服务器所有的外传数据包,并且阻断了所有非安全监控服务器的网络连接接入,也就是说从现在开始,只有我们能连接刘工的这台服务器。”安全主管边审查信息边说着。

“主管,也就是说,如果有黑客入侵,它已经失去了这台服务器的管理能力,网络数据流量这边也显示了,只有我们能到达这台服务器。”安全工程师。

“是的,你现在去看一下,主要从核心部分,物理隔离器,检查一下有没有其他的告警和异常。”主任安排好了后续工作,然后等待安全公司技术支持。

上午十点,林久浩来到了机器人研究所,受刘胖委托过来帮助检查山神的,刘胖要求林久浩在检查的时候,一直用电话保持联系。

林久浩到达机器人研究所安全监控工作间的时候,包括李子军在内的警察也已经到达了现场。

“哥,你来了。”李子军知道是林久浩,一声“哥”把林久浩叫懵了。

“哦、来了。”林久浩答应了一声,转身问安全主管:“主管,让我看一下情况”。主管指了一台电脑给林久浩操作。

“胖儿,听见了吗?我已经进入山神监控服务器了,你准备好了吗?”林久浩拨通刘胖的电话。

“老大,我在,不过需要等一下,这边有一位非常有经验的,厂家开发山神系统的安全工程师会和你通话,我把耳麦给他,给他了。”刘胖在切换通话对象。

电话另一边,“小林,你好,我是厂家这边的工程师,你叫我欧阳就可以了,我们开始吧。”传来一个中年男人的声音。

“你好,欧阳,我这边需要怎么操作?”林久浩。

“告诉我第一次告警的信息是什么?”欧阳。

“位于192.168.3.100的的安全agent的加密认证中断了,所以加密认证码由于时间不同步而失效。”林久浩回答。

“好的,查看一下,安全agent的告警时间,把告警时间记录下来,通知安全人员检查这个时间点有没有其他异常。”欧阳在电话另一端指挥着。

“好的,安排了,你继续。”林久浩回答。

“查看一下,我们给山神制定的策略是,如果安全agent失效,那么第一时间山神会反向入侵该服务器,并且在网络层阻断该服务器外传及内联的网络传输。”欧阳。

“我在这边查看了,山神这些动作都成功了,也就是在第一时间阻断了可能的损失。”林久浩一边操作一边回答。

“很好,我们现在去看一下那台服务器,是不是已经确认了,在告警的时候服务器运行正常,网络连接也正常?”欧阳询问。

“是的!”林久浩回答。

“如果服务器运行没有问题,大概率是黑客的攻击行为,我们现在登录上看一下。”欧阳继续指导。

“已经登录了,你说,我这边怎么操作?”林久浩。

“查看一下服务器系统中的安全agent是否在运行,现在向山神服务器发送的参数是否正常。”欧阳指导着。

“在系统进程里,而且山神那边也正常接收参数,一切正常。”林久浩同时查看着山神系统这边的参数接收情况。

“检查系统进程,把所有的进程看一下,有没有异常的。”欧阳继续。

“欧阳,我把全部进程和应用程序做了检查,这里有两个很怪的进程,看着不像系统的,我比对过了,intermediator-link,copyitout,用户名没有。”林久浩。

“先不要碰它,这个intermediator-link进程有问题,用山神上的安全分析检测工具,看一下这个进程怎么工作的。”欧阳指导着。

“分析了,它在向我们的山神服务器发送固定的参数,中间人程序?”林久浩问道。

“应该是,也就是我们的安全agent被阻塞了,而发送平安无事的是这个中间人程序。”欧阳。

“是的。”林久浩。

“小林,你查一下操作系统的日志,看看最后发生了什么?”欧阳继续。

“查过了,日志里记录了的部分文件被传输了出去,这些文件大小不一,日志记录发现在这个目录里的最后一个文件,是同时间被创建的文件,并没有被发送出去。”林久浩说道。

“让研究所的人查一下这些文件,看是不是这台服务器上的文件。”欧阳。

“不像,欧阳,这些文件从创建时间上看,是安全agent握手失败的前十分钟,但是,系统日志里没有这些文件的创建日志,奇怪。”林久浩。

“这些文件的创建时间是前十分钟,日志里面没有。。。”边上的几个人也感觉奇怪。

“握手失败前十分钟,好的,你去查一下在系统目录里有一个隐藏目录,agent被阻塞后,应该把一些重要信息记录在那个目录里。”欧阳继续有条不紊地指导。

“好的,我现在做。”林久浩。

“。。。。。。”欧阳。

“看到了,今天上午的时间标签,应该是agent被阻塞后,把信息写成文件保留在服务器里。”林久浩。

“先查看一下,agent会重点盯着日志文件,日志是不是被修改了?”欧阳。

“agent文件记录,日志文件被修改了三次,分别是agent刚被阻塞的时间后四分钟后,然后是前一次后五分钟,然后是前一次后的三分钟,具体修改了什么,不知道。”林久浩。

“很好,很好,太好了,但愿,他们没有用系统认可的注册用户修改日志文件。”欧阳那边松了一口气。

“欧阳工,怎么太好了?”林久浩不明白。

“agent有一个小的功能,是我们加进去的功能,当时专门针对,如果不是系统用户修改日志文件,agent会备份日志文件到一个隐蔽的目录。”欧阳。

“也就是说,第一次修改发生在三分钟,我们得到了一个三分钟时的日志。”林久浩。

“对,而且在那个隐蔽目录里面会有三个日志备份文件,分别打了三个时间标签,对应三次修改,去查看一下。”欧阳。

“好的,我现在去看。”林久浩说完,打开了目录,里面果然有三个文件。

“好,我们继续。”欧阳。

“打开第一个日志文件了。”林久浩。

“检查到了什么?”欧阳。

“第一个文件后面显示,从一个内部接口通过地址转换后的ip传入三个文件,看文件名应该是运行文件,packetzip.exe,copyitout.exe,copyitin.exe。”林久浩叙述着。

“查这个地址转换后的ip地址对应的外部ip地址。”欧阳继续指导。

“好的,警方去查了。”林久浩。

“你继续看第二个文件。”欧阳继续。

“第二个文件里面,运行了copyitin.exe,然后现在应该有两个程序在运行状态,copyitin.exe、intermediator-link。”林久浩继续叙述。

“继续。”欧阳。

“copyitin.exe删除盘上存储的copyitin.exe源文件,从一个172.16.3.100的地址上传输了一个目录的文件,大约5gb,然后启动了packetzip.exe,并杀掉copyitin.exe进程,同时删除盘上存储的packetzip.exe源文件。”林久浩。

举报本章错误( 无需登录 )