觉得哪里不对,到底是哪里呢?
一个合格的黑客,其嗅觉一定要灵敏。否则,稍一不慎,后果是极其悲惨的。
谨慎、小心、时刻保持危机感这些都是必备的要素,到了一定的层次,技术如何
已经不是最关键的了。
刚才那一瞬间的灵感虽然虚无飘渺,但我却不敢掉以轻心。这是我多年来能
够隐匿于网络而不被人发现的一个制胜法宝,我一直都很相信这个。
找不出问题所在,心中的疑虑未能消除,所以也不敢继续往下操作。我依然
不厌其烦地,一遍又一遍地看着日志,还不时对比查看中转站操作系统的运行状
况,终于在一个很小的地方发现了一些端倪。
老话说得好,功夫不负有心人。将近半个小时时间,一直盯着屏幕,眼睛都
快花了。这下好了,这半个小时没白折腾。
可是,很快这种喜悦感就被恐惧所代替。原因很简单,这台服务器昨天已经
被人入侵,而且对方还伪造了系统日志,所有的操作隐蔽性很强,几乎滴水不漏。
一般来说,黑客入侵后,通常都要抹除他所有的操作,不让人发觉。而这个
入侵者却反其道而行,他把入侵的痕迹抹除后,伪造了两条正常的系统管理员登
陆日志。
如果就这么简单的话,那么这个入侵者并不可怕,可怕的是对方居然发现了
我的日志软件的存在,并且找到了运行查看日志的方法。
我的软件我自己最清楚,由于不是自己的电脑,功能和操作不能太多,所以
在那台中转站服务器上的日志软件功能只有一个,那就是记录所有登陆服务器和
退出服务器的时间等相关信息。所有记录都经过独有的算法加密,要查看这个日
志文件必需经过好几个隐秘的操作,除了我自己,我相信世界上没有人会知道。
还有一点,这个软件打开后只能查看,不能操作。我通常都是每个月定时统一用
另外的工具手工清除日志。
对方绝对是一个反编译和软件破解高手,只有对我的软件进行反编译破解,
才有可能发现这些操作,这也可以解释对方为什么要伪造系统日志。
加密的日志文件被对方动过,但有一点他却疏忽了,那就是文件的创建时间
格式不对,我那一瞬间的灵感就是来源于此。我想对方可能试图删除加密日志上
的登陆痕迹,但我那独有的算法让他束手无策,不知道从哪里下手。要想清空更
是不可能,这样不但容易被我发觉,而且他也不懂如何操作,因为清空后的加密
文件也有加密数据,空白文件是无效的。
所以,只有根据我的日志内容,去伪造系统日志是最明智的选择,这样我就
根本不可能会发现他来过。对方很聪明,也很谨慎,知道事先备份加密日志文件,
修改失败后就用备份的还原。由于备份的文件时间是最新的,所以他动手修改了
创建时间。举个例子,"2000 年1 月1 日12点01分01秒" 在中转站上的时间显示
为"2000-01-01 12:01:01" ,而对方的时间格式却为:"2000-1-1 12:01:01"
这样的对手太可怕了,要不是他的系统时间格式跟那台服务器的不太一样,那我
根本不可能会发现他的存在。我被吓出一身冷汗,看来以后凡事都要多留几个心
眼,否则怎么死都不知道,这个教训太深刻了。