觉得哪里不对,到底是哪里呢?
一个合格的黑客,其嗅觉一定要灵敏。否则,稍一不慎,后果是极其悲惨的。
谨慎、小心、时刻保持危机感这些都是必备的要素,到了一定的层次,技术如何
已经不是最关键的了。
刚才那一瞬间的灵感虽然虚无飘渺,但我却不敢掉以轻心。这是我多年来能
够隐匿于网络而不被人发现的一个制胜法宝,我一直都很相信这个。
找不出问题所在,心中的疑虑未能消除,所以也不敢继续往下操作。我依然
不厌其烦地,一遍又一遍地看着日志,还不时对比查看中转站操作系统的运行状
况,终于在一个很小的地方发现了一些端倪。
老话说得好,功夫不负有心人。将近半个小时时间,一直盯着屏幕,眼睛都
快花了。这下好了,这半个小时没白折腾。
可是,很快这种喜悦感就被恐惧所代替。原因很简单,这台服务器昨天已经
被人入侵,而且对方还伪造了系统日志,所有的操作隐蔽性很强,几乎滴水不漏。
一般来说,黑客入侵后,通常都要抹除他所有的操作,不让人发觉。而这个
入侵者却反其道而行,他把入侵的痕迹抹除后,伪造了两条正常的系统管理员登
陆日志。
如果就这么简单的话,那么这个入侵者并不可怕,可怕的是对方居然发现了
我的日志软件的存在,并且找到了运行查看日志的方法。
我的软件我自己最清楚,由于不是自己的电脑,功能和操作不能太多,所以
在那台中转站服务器上的日志软件功能只有一个,那就是记录所有登陆服务器和
退出服务器的时间等相关信息。所有记录都经过独有的算法加密,要查看这个日
志文件必需经过好几个隐秘的操作,除了我自己,我相信世界上没有人会知道。
还有一点,这个软件打开后只能查看,不能操作。我通常都是每个月定时统一用
另外的工具手工清除日志。
对方绝对是一个反编译和软件破解高手,只有对我的软件进行反编译破解,
才有可能发现这些操作,这也可以解释对方为什么要伪造系统日志。
加密的日志文件被对方动过,但有一点他却疏忽了,那就是文件的创建时间
格式不对,我那一瞬间的灵感就是来源于此。我想对方可能试图删除加密日志上
的登陆痕迹,但我那独有的算法让他束手无策,不知道从哪里下手。要想清空更
是不可能,这样不但容易被我发觉,而且他也不懂如何操作,因为清空后的加密
文件也有加密数据,空白文件是无效的。
所以,只有根据我的日志内容,去伪造系统日志是最明智的选择,这样我就
根本不可能会发现他来过。对方很聪明,也很谨慎,知道事先备份加密日志文件,
修改失败后就用备份的还原。由于备份的文件时间是最新的,所以他动手修改了
创建时间。举个例子,"2000 年1 月1 日12点01分01秒" 在中转站上的时间显示
为"2000-01-01 12:01:01" ,而对方的时间格式却为:"2000-1-1 12:01:01"
这样的对手太可怕了,要不是他的系统时间格式跟那台服务器的不太一样,那我
根本不可能会发现他的存在。我被吓出一身冷汗,看来以后凡事都要多留几个心
眼,否则怎么死都不知道,这个教训太深刻了。
惊吓过后,理智慢慢占据上风,接下来要做的第一件事情,就是先回忆一下
这台服务器什么时候登陆过。还有,我是如何被对方发现的、对方又用什么手段
来追踪的。
糟糕,这台服务器用得太顺手,好像最近使用的频率很高,也不知道是什么
时候被对方给盯上的。
怎么办?接下来该怎么办?
不行,我不能急,心一乱就完蛋了!
对,先查看其他的服务器有没有被入侵过再说。
我果断地退出中转站,然后反方向一个个查看跳板的情况。
时间匆匆而过,额头上冒出来的汗越来越多,不是因为天气太热,而是被吓
出的冷汗。我查看过的几十台跳板机,除了少数几个比较不常用的以外,基本上
都有被入侵过的迹象。虽然对方的手法很隐秘,但有了之前的教训,所以多留了
个心眼,最终还是让我发现了一些入侵的痕迹,不细看根本看不出来。这就是说,
不单单本次使用的跳板都被入侵过,前几次使用的跳板也大部分都被入侵过。
认真总结了一下,我发现了一个很奇怪的现象