第508章 深入追踪：突破困境（1/2）

我盯着屏幕上的那条消息，B区17端口昨夜两点十四分出现未注册设备，MAC前缀是国产路由器品牌，但型号不在采购清单里。这不对劲。我们机房的交换机端口平时都是关闭状态，除非有运维工单才会临时启用。谁给它通的电？谁让它连上的？

我没多想，直接拨通安保组内线：“马上封锁B区所有物理端口，任何人不得进出。调监控，我要看昨夜两点到三点之间的全部录像。”

对方沉默两秒：“李总，B区昨晚的存储出了问题，关键时间段的视频……没了。”

我手一停。

又来了。先是灰帽衫男人在停车场消失，现在是B区监控丢数据。这不是巧合。有人在清痕迹。

我起身走到分析室，Node-3还在主位上，面前三块屏轮流刷着日志流。他抬头看我进来，没说话，手指在键盘上敲了两下，弹出一张拓扑图。

“我们查了交换机日志，那个设备确实连上了17端口，持续了八分十七秒。期间发起过一次DNS查询，目标是一个非常规解析服务器，IP在荷兰。”

“非常规？”

“不是公共DNS，也不是我们内部用的。我们反查过去，发现这个解析服务常被用来做域名隐蔽通信，有点像数据渗漏的中转站。”

我皱眉：“也就是说，这台设备不是随便插上去的，它是冲着传数据来的。”

“对。”他点头，“而且它只问了一次，问完就断了。动作很干净。”

我坐下来，打开工单系统。既然监控看不到人，那就从谁进过B区查起。我把时间拉到过去一个月，筛选所有外来技术人员的操作记录，重点看网络调试和硬件更换类。

一条工单跳出来：两周前三点十五分，一家叫“联讯维保”的第三方公司派员进入B区，登记事由是“例行网络设备巡检”，负责人签字是张伟，打卡离场时间比报备晚了四十七分钟。

“这个张伟有没有备案信息？”

Node-3查了一下：“有。身份证和从业资格都核验过，没问题。但我们没有记录他当晚的具体操作内容。”

“那就查他动过的设备。”我说，“看看他有没有碰过17号端口对应的交换机模块。”

他开始翻日志。几分钟后，屏幕上跳出一条记录：当晚四点零三分，17端口曾短暂激活，来源IP为192.168.10.37——正是联讯维保人员登记使用的临时终端。

“是他干的。”我说，“这个人根本不是来巡检的，他是来埋点的。”

Node-3没接话。我知道他在想什么。这种外包人员流动性大，身份真实但行为可疑，背后很可能就是被人利用的空壳中介。

“现在问题是，这个设备昨晚突然上线，说明有人远程唤醒了它。它怎么还能连进来？”

“除非……”他顿了顿，“它一直没被真正断开。只是物理层断了网线，但交换机配置里还保留着它的端口权限，甚至可能留了自动重连规则。”

我脑子里一下亮了。这根本不是外部黑客远程攻击。这是早就埋好的后门，等指令一到，自动开门。

“所以他们不需要突破防火墙。”我说，“门本来就是开着的。”

Node-3点头：“我们现在面对的不是一次攻击，是一套长期运行的渗透机制。外部的人负责发指令，内部的漏洞负责接应。”

我靠在椅子上，脑子转得很快。如果真是这样，那之前的追踪方向全错了。我们一直在追境外IP，可真正的入口就在楼里。

“把过去90天的所有异常外联请求再筛一遍。”我说，“特别是那些看起来像是误触或者测试流量的数据包，别放过任何一次短连接。”

他开始操作。我盯着屏幕，一条条日志滑过去。大部分都是已知代理节点，但也有一些奇怪的小流量，持续时间不到十秒，源端口随机，目的地址也不固定。

本章未完，点击下一页继续阅读。