第3章 漏洞深挖,内鬼现形
我盯着“有些人睡着的时候也睁着眼”,手指在键盘上悬了两秒,然后敲下回车——日志分析程序重新加载。
黎小曼给的三个时间点,03:07、03:39、04:12,像三枚钉子,把整个事件钉死在凌晨的缝隙里。
我调出admin_audit账户的操作记录,发现它走的是合规通道,登录IP来自集团内网审计专线,表面看无懈可击。
但会话令牌的时间戳有微妙错位,比标准响应延迟了0.3秒,像是经过中间节点跳转。
这种偏移普通排查根本看不出,只有把底层通信包拆开才能发现。
这人不想留脸,但忘了藏脚印。
我把过去一个月所有使用该账户的日志拉出来,结果干净得离谱:除了那三晚,其他时间从未启用。
更奇怪的是,每次操作后系统都自动执行了一套清理流程,清除临时缓存、抹除操作痕迹,连日志归档都被标记为“低优先级”,自动转入冷存储,人为干预的痕迹太明显。
这不是系统行为,是人在教系统撒谎。
权限组配置记录显示,admin_audit所属的访问策略在两周前被重新定义过,新增了对“战略储备数据库”的读取权限。
这个库封存着腾龙十年内的并购底牌、客户黑名单和政府关系档案,按制度只能由董事长和两位执行副总裁联签才能开启。
而现在,一个二级审计账户竟能自由进出。
批准签名电子档附在工单后面,笔迹扫描模糊,边缘有重影,像是从纸质文件翻拍再转成PDF的。
真签名不会这样,除非是伪造后插入流程的。
我切换到IT管理后台,想查权限变更的审批链。
流程显示申请来自CFO办公室,复核人空缺,终审栏写着“己授权”,却没有具体名字。
最要命的是,这条记录没同步到审计备份系统,主库有,副库无,等于在制度上打了个洞。
明面上走流程,暗地里绕规则。
有人在用体制的壳,干掏空体制的事。
我拨通张薇的内线,语气尽量平稳:“刚做例行安全评估,发现审计账户权限有点异常,你那边能帮忙查个原始写入日志吗?”
电话那头静了几秒。
“哪个账户?”
“admin_audit。
我想确认一下权限升级的真实触发时间和操作终端。”
又是一段沉默,短促的呼吸声透过听筒传来。
她应该知道这意味着什么。
“等我十五分钟。”
她说完就挂了。
我靠在椅子上,盯着天花板。
这十五分钟比会议还难熬。
王振宏在会上跳脚反对追查内部权限,黎小曼精准给出监控删除时间,现在又冒出个被篡改的审批记录——所有人都在演戏,只有漏洞是真的。
手机震动,张薇发来一个加密链接,标题是“临时日志片段_未入库”。
我下载解压,打开一看,心跳慢了半拍。
这份日志不属于任何正式工单系统,而是数据库底层自动生成的操作流快照,通常只在故障排查时调用。
记录显示,真正触发权限升级的,并不是CFO提交的流程,而是一个隐藏API接口的调用请求。
IP地址来自财务部内网段,时间是昨天下午西点十七分,正好是王振宏主持会议前两小时。
那个接口本该在去年系统升级时停用,因为存在越权风险。
但它被临时激活了,理由是“保障旧财务模块兼容性”。
批文是一份非公开备忘录,落款是王振宏的电子签章。
合情,合理,合法。
每一步都踩在规则边缘,却又不越线。
就像拿刀的人戴了手套,杀人不见血。
我把所有线索摊在屏幕上:三次数据导出、监控删除、权限异常、审批缺失、隐藏接口调用。
它们原本散落在不同系统里,现在被时间线串成一条蛇——头在机房,尾在副总裁办公室。
这不是泄密,是设局。
目标不是客户资料,是我。
他们要用一次“技术事故”证明空降高管只会惹祸,再借整顿之名把我踢出去。
而真正动手的人,躲在权限背后,连指纹都不用留下。
我打开新文档,开始画图谱。
横轴是时间,纵轴是权限层级,中间用箭头连接每一个关键节点。
当“隐藏API调用”与“会议前两小时”交汇时,整张图突然活了——动作顺序严丝合缝,像一场排练好的退场仪式。
正准备标注最后一个节点,我忽然停住。
黎小曼为什么知道删除时间?
二级审计权限的操作界面不在公共系统,必须通过专用终端登录,普通员工根本看不到。
她一个营销总监,哪来的路径接触这种信息?
除非……她的权限不止表面那么简单。
或者,她早就在这盘棋里,只是没人看清她的位置。
我抓起电话想再问张薇几个细节,听筒刚贴到耳边,响了两声,我又放下了。
不对劲。
从她迟疑的停顿,到那份“未入库”的日志,再到她选择用加密链接而非内部传输——她在规避记录。
她帮我,但不想被人知道她在帮我。
我转而打开内网消息系统,新建一条加密信件:“刚才的数据,请勿留存本地。”
发送键还没按下,屏幕右下角弹出一条提示:**admin_audit账户正在尝试远程登录,来源IP:10.24.8.167**。
我猛地坐首。
这个IP属于十六层东区机房,正是那台旧设备接入的位置。
现在是晚上十一点二十三分,机房不该有人值班。
而且admin_audit己经在三小时前完成操作,按理说己被系统自动冻结,不可能再次激活。
除非,有人在实时操控它。
我立刻反向追踪登录请求,却发现信号经过三层代理跳转,最终指向一栋办公楼的公共Wi-Fi。
假地址。
对方早防着这一手。
我迅速调出电力监控系统,查看十六层东区UPS负载曲线。
果然,在一分钟前有过一次瞬时波动,持续0.7秒,和上次一样,像是有人插拔设备造成的电路微震。
时间:23:22:45。
比登录提示早15秒。
说明物理接入发生在先,操作在后。
有人现在就在机房,亲手重启了那台旧设备,试图再次进入系统。
我抓起外套冲出门,电梯按钮还没按下去,突然停下。
不能去。
我去,就是现行抓人,但对方既然敢这么做,必然留了后招。
万一现场清干净了,反而说我擅闯机房、制造混乱。
更何况,admin_audit的权限是谁给的?
我现在连发起调查的资格都没有。
我转身回到办公室,锁门,重新打开图谱文档,在“隐藏API激活”那一环加上备注:**批准人:王振宏,时间:昨日16:17,与会议衔接紧密,存在预谋可能**。
然后我把所有证据打包,分成三份,一份存本地加密分区,一份上传至私人云空间,最后一份刻录进U盘,塞进抽屉夹层。
做完这些,我坐在黑暗里,屏幕蓝光映在脸上。
这公司像个漏风的盒子,外面风雨不来,自己先从里烂透了。
我打开内网消息,找到张薇的名字,重新编辑那条未发送的信息。
手指悬在发送键上方。
窗外,整栋大楼只剩零星几盏灯还亮着。