可是,很快这种喜悦感就被恐惧所代替。原因很简单,这台服务器昨天已经被人入侵,而且对方还伪造了系统日志,所有的操作隐蔽性很强,几乎滴水不漏。
一般来说,黑客入侵后,通常都要抹除他所有的操作,不让人发觉。而这个入侵者却反其道而行,他把入侵的痕迹抹除后,伪造了两条正常的系统管理员登陆日志。
如果就这么简单的话,那么这个入侵者并不可怕,可怕的是对方居然发现了我的日志软件的存在,并且找到了运行查看日志的方法。
我的软件我自己最清楚,由于不是自己的电脑,功能和操作不能太多,所以在那台中转站服务器上的日志软件功能只有一个,那就是记录所有登陆服务器和退出服务器的时间等相关信息。所有记录都经过独有的算法加密,要查看这个日志文件必需经过好几个隐秘的操作,除了我自己,我相信世界上没有人会知道。
还有一点,这个软件打开后只能查看,不能操作。我通常都是每个月定时统一用另外的工具手工清除日志。
对方绝对是一个反编译和软件破解高手,只有对我的软件进行反编译破解,才有可能发现这些操作,这也可以解释对方为什么要伪造系统日志。
加密的日志文件被对方动过,但有一点他却疏忽了,那就是文件的创建时间格式不对,我那一瞬间的灵感就是来源于此。我想对方可能试图删除加密日志上的登陆痕迹,但我那独有的算法让他束手无策,不知道从哪里下手。要想清空更是不可能,这样不但容易被我发觉,而且他也不懂如何操作,因为清空后的加密文件也有加密数据,空白文件是无效的。
所以,只有根据我的日志内容,去伪造系统日志是最明智的选择,这样我就根本不可能会发现他来过。对方很聪明,也很谨慎,知道事先备份加密日志文件,修改失败后就用备份的还原。由于备份的文件时间是最新的,所以他动手修改了创建时间。举个例子,”2000 年1 月1 日12点01分01秒” 在中转站上的时间显示为”2000-01-01 12:01:01” ,而对方的时间格式却为:”2000-1-1 12:01:01”这样的对手太可怕了,要不是他的系统时间格式跟那台服务器的不太一样,那我根本不可能会发现他的存在。我被吓出一身冷汗,看来以后凡事都要多留几个心眼,否则怎么死都不知道,这个教训太深刻了。
惊吓过后,理智慢慢占据上风,接下来要做的第一件事情,就是先回忆一下这台服务器什么时候登陆过。还有,我是如何被对方发现的、对方又用什么手段来追踪的。
糟糕,这台服务器用得太顺手,好像最近使用的频率很高,也不知道是什么时候被对方给盯上的。
怎么办?接下来该怎么办?
不行,我不能急,心一乱就完蛋了!
对,先查看其他的服务器有没有被入侵过再说。
我果断地退出中转站,然后反方向一个个查看跳板的情况。
时间匆匆而过,额头上冒出来的汗越来越多,不是因为天气太热,而是被吓出的冷汗。我查看过的几十台跳板机,除了少数几个比较不常用的以外,基本上都有被入侵过的迹象。虽然对方的手法很隐秘,但有了之前的教训,所以多留了个心眼,最终还是让我发现了一些入侵的痕迹,不细看根本看不出来。这就是说,不单单本次使用的跳板都被入侵过,前几次使用的跳板也大部分都被入侵过。
认真总结了一下,我发现了一个很怪的现象。所有被入侵过的跳板都是在前一阵子网络大战开始时,以及之后所使用的。网络大战之前,准确的说,是那次当冤大头引起网络大战之前用的跳板都没有被入侵。
这算是怎么回事?难道跟上次的网络大战有关?对方的手段这么高,那我另外那几台大型的中转站服务器会不会也被入侵了?我心里隐隐有些担忧!
