"我不确定。但他昨天晚上加班到十一点,一个人在机房里待了两个多小时。今天早上IT部的小杨跟我说,有几条旧日志的修改时间变成了昨晚的。"
心跳加速了半拍。
但只有半拍。
因为他不知道的是,在他动手之前——
3月14号那天,我在七十二小时守护的最后关头做了一件事。
当时攻击已经被遏制住了,系统恢复稳定,我精神已经接近崩溃的边缘。但在倒下之前,我做了一个全系统快照。
那是网络安全工程师的职业本能。
攻击事件结束后必须保留完整的数字现场。
我把快照刻到了一张光盘里,因为光盘是一次性写入的,写完之后物理上不可篡改。
那张光盘,现在锁在我家里的保险柜里。
上面有3月12号到3月14号之间所有的服务器操作日志——完整的、未被篡改的原始版本。
包括admin_zzy在3月12日下午两点二十三分关闭防火墙入站规则的记录。
包括来自正中科技IP地址的全部访问痕迹。
周正阳可以删服务器上的日志。
但他删不掉那张光盘。
我把这些告诉了林薇。
她听完之后,整个人靠在隔板上,长长地呼出一口气。