“我就是本着尽量去排除当事人的想法接连查证时才发现的,没想到这一查,更对当事人有了深入看法。我当时想,会不会是内网里有什么可疑程序在作祟?冒充该名员工的身份在恶意访问?”
“对呀,黄工,有这可能,以前咱们不就逮到过一条傀儡蠕虫吗?”李闯马上补充。
去年李闯在内网里捉到过一条能够模拟员工身份的蠕虫,该蠕虫还算是良性,传进来的源头无从验证了,但是其攻击能力着实不低,且不说能自我复制的基本特性,最要命的就是它趴在内网的任意角落里,能够随机记录若干网内终端用户的身份,冒充着傀儡员工的名义在各部门之间肆意互发病毒邮件,并且在MSN、QQ等等聊天工具上留言病毒链接,极其令人讨厌。李闯带着小年轻儿们拿着扫描器在内网里扫了一整天才将它彻底清除干净。
“呵呵,是!我就怕是那种蠕虫作祟。为了确保万无一失,索性我让马龙张豹做了整体网络筛查,犄角旮旯都查遍了!逐一扫描可疑程序。一查防毒墙,咱们集团的防毒墙基本上实时从赛门铁克服务器上同步更新,互联网中最新的病毒样本防治疫苗咱们都有,未见异常。二查防火墙,未见严重攻击日志,现在就是再笨的黑客,也不会用强攻的手段直切防火墙进来恶意施种可疑程序。三查漏洞扫描系统,扫描了整个主干网络与分支网络,未见一丁点儿可疑漏洞。四查入侵检测系统,网络入侵检测系统与防火墙联动,也是未见任何异常,如果是黑客入侵,网络入侵检测系统在什么位置如果不存在内应,根本就不可能知情,进来立马就抓个现行,通报到SMC紧急预警。问题出现在主机入侵检测系统上。”
入侵检测系统分散在内网的各个角落,犹如黑夜中长明路灯,映照着灯伞下的一切活动。
“什么问题?黄工!”李闯焦急地问。
“什么问题?嘿嘿,”老黄连连摇头,“什么问题都没有!你们都知道,咱们基于配方服务器旁路的主机入侵检测系统的防护策略是全部响应的,也就是说,针对配方服务器的访问行为,甭管是上班时间还是下班时间、正常的非正常的,全部无一例外记录在案。按道理说,该名员工的夜访行为应该排列在主机入侵检测系统的检测日志中才对,但是我刚才反复查证了,什么都没有!”
“我的天……”李闯有些瞠目结舌。
三人沉了一下。
那剑思索片刻,问道:“黄工,您的意思是说,该名员工在夜访过程中,有主动掩盖访问事实的意愿?”
“是的!要不是SMC交叉核对考勤服务器,记录此次错误访问日志,估计咱们决计查不出来!”
那剑望一眼手表,布置后续工作:“黄工,我得去开会了。您尽管往下查,远程控制该名员工的办公终端,必要时可用数据恢复手段。杰克,你来配合!”
“是!”
“是!”
