《暗战》之“黑客”之间的较量(2)

发布时间:2015-04-15 12:00 作者:朱磊来源:51CTO.COM 点击:加载中...次

我跟万鹏所在的公司属于又又或者的那一类，集团下属有两间子公司都有各自的内网以及分开的业务，搞笑的是两个原本不应该存在网络交集的子公司偏偏在OA和ERP共用了一个内网。然后A子公司为了节约成本将公司的官网放在了这个内网中并开启了公网访问。

做为社区交友类的公司，我们的用户数据其实是被很多骇客看在眼里的，在网络中我也遇见一些人找到我，出高价让我偷一份用户数据进行出售，价钱高的吓人，可是我从来就没有心动过，或许有那么短暂的好几天我动摇了，但是我很快就用我的理性战胜了我的兽性，像我这么有节操的人怎么能干出这种吃里扒外的事情，当时我就给丫拉黑了，连再见都来不急说而因此良心不安了好几个小时。

东窗最后还是事发了，领导有一天非常生气的把我和万鹏叫到办公室怒斥，公司给你们发工资每个月那么多钱，你俩还能不能干了，不能干就滚蛋，当时我就吓尿了，是不是我跟万鹏做AV搬运工学雷锋的事情让领导发现了，我妈从小就教育我，做错了事情要承认，就在我要开口认错的时候万鹏开口了，对不起领导不会有下次了，如果有下次我主动离职，我听到这里的时候已经惊呆了，这是要作死的节奏呀，虽然万鹏常常把no zuo no die why you try挂嘴边，我还以为这口头禅是说着好玩炫耀英文呢，敢情是要来真的，太入戏了。

领导看了万鹏一眼没有说话，估计是让那份诚恳给感动了，打开一封邮件说，你俩过来看看，咱公司的用户数据库让骇客给搬出去了，给你俩1天时间去查查那出问题了。

这其实是个不可能完成的任务，入侵取证的基础是日志，而公司里无论是内网环境还是生产环境是不启用日志记录的，这种现象在其它一些公司也是常见的事情。

其实开启日志也不是要全部字段都需要记录，只记录一些关键的字段至少在取证环节也是有帮助的，比如：登陆IP、登陆账号的失败与成功、时间等关键信息。

我跟万鹏回到工位讨论着各种可能，也尝试着登陆服务器看看是否有存在异常账号、可疑文件和后门，倒是发现了一个pcshare的远控木马，虽然通过抓包反向找到了上线的服务端地址，利用注入漏洞控制了那台服务器的最高权限，但这并不能解决领导给我俩的任务，找到出问题的地方。

眼看到了吃中饭时间A子公司的网管高琪过来找我俩吃饭，(因为剧情需要A子公司跟我们在同一个办公楼而且楼上楼下同时关系要好，哼！)，看见我俩郁闷的表情就问怎么了，我俩把事情的经过说了一遍又给高琪看了从服务器上发现的那个pcshare远控木马dadengjiu.exe，高琪看见这个木马文件就兴奋了。

说这个文件在他们的官网服务器上也发现过，以前不知道是什么所以给删了，还以为是系统的临时文件呢，而且又告诉我跟万鹏一个惊诧的消息，他们官网的服务器跟我们公司的ERP/OA系统在一个网段，因为没有做网络隔离和访问控制策略所以是能访问到我们这边的。

我跟万鹏常做渗透测试我们怎么没有发现呢，或许是本能的认为里面没有我们想要的小天地吧。

因为我们是大内网所以ERP/OA的服务器是可以以内网的身份访问到生产环境的，想通了这个逻辑之后，我肠子又裂了，让我突然间明白了一件事情，如果你在一个集团公司做安全工程师，不要只把学雷锋做好事的范围局限在自己的网络，也要尝试一下能不能把这种美德延展到同宗兄弟的子公司。

　　解说：远控木马

采用http反向通讯，屏幕数据线传输，驱动隐藏端口过程等技术，达到系统级别的隐藏，由于结合最新rootkit技术用一般的杀毒软件无法查杀。

技术性的解释总是那么的让人难以理解，按照本书的惯例我将用更白话的语言解说什么是远控木马。

隔壁老王有个孩子聪明伶俐五官明确，在成长经历的某个巧合发现老王不是自己的亲爹，于是就踏上了寻爹道路找到了我，为什么能找到我呢。