IT办公室的故事 2019-12-05

大家好。来到Steemit也写了十来篇blog了。

本来不知道想长期写些什么。感觉应该把无聊的工作中偶尔遇到的有趣的事情记录下来。一个星期写一篇。不过下周就要放假了，自己定下的目标，在第三周就要停摆……也只能自己对自己呵呵了。

对于IT这个行业来说，难免会遇到安全问题。去年特斯拉的云端被人入侵，入侵者使用Kubernetes挖比特币。不管个人还是公司，网络安全和系统安全都是一个需要时时注意的事情；而且这件事也说明，不管你多大的公司，都会存在漏洞。

作为一个工程院校的信息技术工作者，面对是各种自己想黑一黑学校系统的学生。上大学的时候我也是这个想法。不过，很多时候能入侵的系统都是教系统安全的老师的。

作为整个校区的一部分，工程院的数据中心隐藏在校区的防火墙之内。Security全部由校OIT总体管控。有一次由于懒惰不想寻找documentation，用nmap在局域网内寻找一条VLAN的open port，我的主机被安全团队锁住了一个三天。

一个安静的下午，同事和我在办公室里面闲聊。这个时候，办公室的电话响了起来，OIT的电话。

"嘿啊，这几天你们一个server传了10TB的数据……什么情况？"

"跟我们没关系。"同事和我都不知道，"网络是你们监控的。应该告诉我们也对。"OIT安全一把抓。我们没有任何即时监控的设备。

当然，由于我们使用的是HPE的网络系统，和他们的思科并不是百分之百的兼容。进入都我们的总路由之后，他们也就撒手不管，让我们来处理了。

登录路由，VMware，锁定带宽使用度最大的虚拟服务器。由于不属于HPC的一部分，slurm看不到这些老机器里面的数据。只有直接连入服务器里面分析。

除了我们给市内其他非营利单位架设的系统，其他所有的服务器均使用AD账户登录，基本上很容易就查到是哪个用户在进行数据传输，即便是盗用也能找到调查的切入口。

"有趣，bash history里面只有清空bash history的记录。"办公室里面的人讨论着，有多少人闲着没事清空这个东西。虽然可疑，但是他的profile下面并没有占用多大的存储空间。

"这个家伙应该有两把刷子。"同事说。

"学CS的嘛。"通过LDAP的搜索，我能查到这个用户在学校里面的所有的信息，"你看看他那个叫‘1’的文件夹里面有啥"。我让同事手动搜索一下嫌疑人的具体文件。

"1"文件夹下面是一个"0"文件夹；"0"文件夹下面是一个"1"文件夹；"1"文件夹下面又是一个"1"文件夹……

这不是初高中生为了防止父母搜查，在自己的电脑里面藏黄片的手法吗？看来是个低年级的新生。

深入十几层之后，终于让我们发现了庐山真面目。从Hello Kitty 到同志黄片，应有尽有。“这兄弟的爱好还挺广泛的。”同事感慨道，"不过有点少啊，这点东西肯定用不了10TB的bandwidth。"
刚才在查网络记录的时候，发现过很多资源路径传到服务器上。“查查有没有有没有在校内的。估计咱们的服务器现在是个tor的末端吧。”

果不其然，在众多的连接记录里面，有一个通向了学生宿舍的IP。这个server的profile只是一个中转站，在从多方资源下载下来之后，自动转到宿舍里的一个电脑上。深一步追索。发现这个IP上居然还有一个网站。

打开网站时候，我和同事同事哈哈大笑起来。网页上除了一点点CSS的修饰之外，写着：“Nothing to see here, move along!”

这真是外国版的此地无银三百两，隔壁阿二不曾偷啊。

联系OIT，汇报我们的发现。OIT居然动用了校警抓人。着实感觉有点拿着鸡毛当令箭的架势。

“You know, as much as this guy knew, the directory folder structure was really crappy. I am disappointed (我说，对于这家伙知道的东西，隐藏文件用的文件夹的方法很差劲。我觉得很失望).”事后，办公室里面的人们闲聊。

“Yeah… but you gotta start somewhere, give him time (嗯嗯……只是个开始嘛，给他点时间).”我们开始想往这孩子以后可能能做出点什么成就……