可以了,我们开始吧。”传来一个中年男人的声音。
“你好,欧阳,我这边需要怎么操作?”林久浩。
“告诉我第一次告警的信息是什么?”欧阳。
“位于192.168.3.100的【观景窗服务器系统】的安全Agent的加密认证中断了,所以加密认证码由于时间不同步而失效。”林久浩回答。
“好的,查看一下,安全Agent的告警时间,把告警时间记录下来,通知安全人员检查这个时间点有没有其他异常。”欧阳在电话另一端指挥着。
“好的,安排了,你继续。”林久浩回答。
“查看一下,我们给山神制定的策略是,如果安全Agent失效,那么第一时间山神会反向入侵该服务器,并且在网络层阻断该服务器外传及内联的网络传输。”欧阳。
“我在这边查看了,山神这些动作都成功了,也就是在第一时间阻断了可能的损失。”林久浩一边操作一边回答。
“很好,我们现在去看一下那台服务器,是不是已经确认了,在告警的时候服务器运行正常,网络连接也正常?”欧阳询问。
“是的!”林久浩回答。
“如果服务器运行没有问题,大概率是黑客的攻击行为,我们现在登录【观景窗服务器系统】上看一下。”欧阳继续指导。
“已经登录了,你说,我这边怎么操作?”林久浩。
“查看一下服务器系统中的安全Agent是否在运行,现在向山神服务器发送的参数是否正常。”欧阳指导着。
“在系统进程里,而且山神那边也正常接收参数,一切正常。”林久浩同时查看着山神系统这边的参数接收情况。
“检查系统进程,把所有的进程看一下,有没有异常的。”欧阳继续。
“欧阳,我把全部进程和应用程序做了检查,这里有两个很怪的进程,看着不像系统的,我比对过了,INTERMEDIATOR-link,COPYitOUT,用户名没有。”林久浩。
“先不要碰它,这个INTERMEDIATOR-link进程有问题,用山神上的安全分析检测工具,看一下这个进程怎么工作的。”欧阳指导着。
“分析了,它在向我们的山神服务器发送固定的参数【平安无事】,中间人程序?”林久浩问道。
“应该是,也就是我们的安全Agent被阻塞了,而发送平安无事的是这个中间人程序。”欧阳。
“是的。”林久浩。
“小林,你查一下操作系统的日志,看看最后发生了什么?”欧阳继续。
“查过了,日志里记录了【一个新创建的目录下】的部分文件被传输了出去,这些文件大小不一,日志记录发现在这个目录里的最后一个文件,是同时间被创建的文件,并没有被发送出去。”林久浩说道。
“让研究所的人查一下这些文件,看是不是这台服务器上的文件。”欧阳。
“不像,欧阳,这些文件从创建时间上看,是安全Agent握手失败的前十分钟,但是,系统日志里没有这些文件的创建日志,奇怪。”林久浩。
“这些文件的创建时间是前十分钟,日志里面没有。。。”边上的几个人也感觉奇怪。
“握手失败前十分钟,好的,你去查一下在系统目录里有一个隐藏目录,Agent被阻塞后,应该把一些重要信息记录在那个目录里。”欧阳继续有条不紊地指导。
“好的,我现在做。”林久浩。
“。。。。。。”欧阳。
“看到了,今天上午的时间标签,应该是Agent被阻塞后,把信息写成文件保留在服务器-->>