『如果章节错误,点此举报』第(2/3)页
口气:“ops.emergency不是已经冻结了吗?”
顾明摇头:“冻结的是账号会话,但策略包历史下发记录还在。更关键的是:就在你们出发前半小时,有人用另一个应急账号下发了一个新的‘策略替身’,名字叫ops.support。权限级别相同,命名风格相近。明显是绕冻结。”
董经理在旁边听不懂细节,但看到他们的脸色,笑容彻底消失。他本能地后退了半步。
罗主任看向董经理:“ops.support是你们外包账号吗?”
董经理立刻否认:“不是,我们外包没有这种命名,也没有权限下发策略。你们公司内部平台发什么,我们只能执行。”
“那就说明,”周砚声音平,“外包点是通道,不是源头。有人在内部操控通道,把外包点当作‘可否认的手套’。出了事,可以说‘外包在操作’;没出事,就说‘议题支持’。”
这句话像一把刀划开了董经理的心理防线。他终于开口,语气带着一点急:“领导,我说句实话。我们外包就是干活的,谁给我们工单、谁给我们权限,我们就按流程做。我们不想背锅。你们要查内部,就查内部,别把火烧到我们这儿。”
罗主任没安抚,只问:“你们这边有没有收到过‘特殊工单’?比如要求你们在特定时间段打开某些目录、导出某些材料、或者帮忙做‘日志清理’?”
董经理的眼神闪了一下,快速避开:“没有。我们不会做日志清理,那是违规。”
顾明抬头,淡淡补了一句:“堡垒机日志显示,上周五凌晨两点,你们有一次‘日志轮转参数’被修改,修改后日志保留从90天变成了7天。修改人不在你们名单里,来自你们机房网段。你要解释吗?”
董经理脸色瞬间发白,嘴唇动了动,半天才吐出一句:“那次……我们确实收到一个紧急工单,说平台压力大,要做日志轮转优化。工单来源……是你们公司内部的‘平台支持组’。”
“工单编号?”罗主任追问。
董经理咬牙:“我可以调,但……你们得保证我们不会被当成共犯。”
陆律冷冷插话:“你们是否共犯不是我们定,是事实定。你现在做的是配合取证,会被记录为积极配合。你拒绝或隐瞒,会被记录为妨碍。自己选。”
董经理终于低头:“工单编号我给。还有……平台支持组的对接人,叫许元。”
许元这个名字再一次出现,像钉子一样钉进白板。一个职级不高的系统管理员,却同时出现在审批链、工单链、日志轮转链里。这种集中度不符合“偶然”。
周砚看向顾明:“许元是关键中继。”
顾明点头:“是。并且许元的账号最近三天在深夜频繁登录,登录地点不是公司,也不是外包点,而是一个共享办公区域的IP。很可能有人在用他的账号,或者他本人在外部操作。”
罗主任立刻下令:“把许元加入紧急问询名单,今晚就叫到纪检。并同步冻结他的所有审批权限,封控他的设备。”
梁总补充:“还要查他和匿名号之间的联络通道。比如匿名邮箱、加密聊天、云盘分享链接。”
顾明快速拉出一条线索:“终端外联记录OD-LOG-217里访问的加密云盘链接,解析出来的短链服务商后台,有一个管理账号曾经登录生成过同类短链。那个账号的绑定邮箱……是许元的工作邮箱别名。”
董经理听到这里,脸色彻底灰了。他似乎终于意识到:这不是简单的外包配合取证,而是一个更大的局被撬开了边缘。局里的人越往上,越不愿意让外包点留下证据。
就在这时,顾明的告警面板再次红了一下。
“有人在你们公司内部试图解除对许元的冻结。”顾明盯着屏幕,“操作账号:zs.board。”
空气像被瞬间抽空。zs.board再次出现,说明对方还在用共享账号池的残余权限做反扑。说明会刚结束不久,董事会办公室已经有人在动手救人、救通道、救中继。
这不再是“制度不足”,而是“战术对抗”。
罗主任的声音像铁:“立刻全局停用zs.board的所有关联权限。不是停用共享账号池那么简单,是清理所有残余策略与密钥绑定。警方技术,能否出具紧急处置建议?”
警方技术人员点头:“可以。共享账号与硬件密钥属于**险资产,紧急处置建议是:立即回收密钥、封存保险柜、冻结所有与共享账号相关的策略包,必要时对董事会办公室终端区域进行临时断网隔离。”
罗主任转身就打电话,把指令按程序下发。纪检专员同步在系统里写入编号。顾明一边执行一边低声:“zs.board正在试图做第二次操作,已经被挡。对方开始急了。”
周砚看着机房里冷光闪烁,心里却很清楚:对方越急,越说明许元这条线很疼。许元不是终点,但他可能是“喂料口”之一——负责把材料变成短链,把短链喂给匿名号,把匿名号变成外部烟雾,再用烟雾反向逼董事会妥协。
这一套闭环如果成立,就不是影子机制自发的“稳定”,而是有组织的“议题操控”。
“董经理,”周砚忽然转向他,语气平静,“你们外包点除了常规运维,有没有人曾经以‘客户方紧急支持’名义进过机房,要求使用你们的终端做操作?”
董经理喉结滚动,像在挣扎。他看了看罗主任,又看了看警方技术人员,最终压低声音:“有。两次。第一次是上周五凌晨,来的人说是你们公司平台支持组,带了工牌复印件。第二次是昨天晚上,就在你们封控终端后不久,有人想进机房,被我们挡了。他说‘领导很关注’,让我通融。我没让。”
“昨天晚上来的那个人,你认得吗?”罗主任问。
董经理摇头:“戴着口罩帽子。但他说话有口音,像……总部的人。还提到‘秘书长’。”
“又是秘书长。”梁总的拳头握紧。
周砚没有追“像总部的人”,他只问可核验:“你们门口摄像有记录吗?”
董经理点头:“有。但摄像数据默认保留七天……如果没有被改。”
顾明冷冷插了一句:“日志轮转改成七天,摄像也可能被改。我们现在立刻把摄像存储做镜像。”
警方技术人员立刻行动。董经理这一次没有阻拦,甚至主动带路。他的态度变化很现实:当他意识到自己可能被当成替罪羊时,他唯一的自救就是把证据交出来,让真正的操控者暴露。
摄像存储镜像完成后,顾明在快照里截出一段画面:夜里十一点四十七分,一个身材偏瘦的***在门口,手里举着手机给安保看,动作急,头压得很低。虽然遮挡严密,但他抬手的瞬间露出手腕上的表——金属链,左手,表盘边缘有一道缺口。
顾明把画面暂停,放大:“这块表……像周秘书长常戴的那款。缺口位置也像。”
陆律立刻提醒:“像不等于证据。我们要找更硬的识别:身高体态、步态、手机型号、车牌、基站。”
顾明点头:“我们可以做步态特征比对,结合门禁与停车场记录。外包点门口有没有车牌抓拍?”
董经理摇头:“我们没装车牌抓拍,但园区外有公共摄像头,警方可以调。”
警方技术人员淡淡说:“可以调。”
罗主任的脸色很沉,但他没有在外包点做任何结论。结论要在编号里落地,不在情绪里落地。
“收队。”罗主任说,“所有镜像封存移交。回去立即冻结许元,取他的设备与通话记录。并把board.viewer、ops.support、许元短链后台这三条线合并成一份‘喂料口报告’。”
---
回程的路上,天彻底黑了。车内灯光很暗,顾明的屏幕却亮得刺眼。
“许元的账号刚刚又尝试登录短链后台。”顾明说,“地点变了,变成了一个酒店Wi-Fi。像是在逃。”
梁总低声:“他在跑。”
周砚没有马上接“跑”这个字。他更关心的是:谁在指挥他跑,跑去哪里,跑的目的是什么——销毁设备?交接材料?还是去见某个更上层的人?
“如果许元只是工具人,”周砚说,“他跑不跑都不重要。重要的是他手里握着谁的指令、谁的密钥、谁的分发清单。我们需要在他销毁之前把他按住。”
罗主任直接下令:“警方技术联系网安,协助定位。纪检准备紧急到场问询。今晚必须把许元拿到手。”
陆律补充:“问询要把握顺序:先锁事实,再问关系。先让他承认短链后台操作、审批链、工单链、日志轮转修改,再逼他交代指令来源。不要一上来就问‘是谁让你做的’,他会直接咬死‘我自己判断’。”
周砚点头:“对。让他在字段里无处可逃。”
车刚到总部地下车库,顾明忽然抬头:“还有一条。匿名号发布新动态了——不是录
(本章未完,请翻页)
第85章 外包点与喂料口 我把废案写成爆款
