【平淡表象版】 話說自己正為了難得換工作卻忘了中間放個幾天假的豬頭決定而悔恨不已,踏著沮喪的步伐第二天踏入辦公室。幸好,我的SB81P+19"TFT已經 隨我撤遷,與我在新環境中相濡以沫...

D日08:30 正在測試我在舊公司寫過的由AD查詢公司同仁個人資訊的程式,發現裡面有一段寫死了172.28.*的舊公司AD IP位址,看來這部分非改不可了...
D日08:45 先是Outlook顯示連不上Exchange Server,然後是MSN斷了,接著發現網路全部不通,IPCONFIG也抓不到IP了。由於過去我在使用Virtual Server VM與主機互連時有可能引起此種情形,所以朝此方向偵察...
D日09:20幾番查證,由於VM可通,但實體網路反而不Work,有足夠的證據顯示是MAC Address被鎖了。好不容易等到主管回位,給了我一位IT部門主管的分機。打去不在,代接的同事要了我的分機,說會幫忙代查。 隨後得到的回音是,網管發現我的主機有異常的活動,存取了6900 Port,加上我的機器名稱未加註員工代號,也未加入網域,所以封了我的MAC。連絡了IT主管,請我抱電腦下去給他檢查看看是否有中毒。
D日10:20檢查完成,IT主管順便幫我將電腦加入網域,裝了SMS Client/SUS Client納入公司的統一管理。聊了兩句,他還向我展示了其整合SMS做出軟體更新進度報告的功能,很不錯。至於MAC被鎖的事,他說會幫我連絡處理。
D日11:20 回座後等了好一陣子,發現網路仍不通,但打給IT主管一直忙線中。最後接通了,他說會幫我處理。
D日11:30 一位大姐打電話來,說我的電腦使用了BT之類P2P軟體,在公司裡是不被允許的,所以MAC被鎖,說暫時不能開放。我詢問了何謂BT,才搞清楚他們稱eMule、eDonkey這類抓抓樂軟體為P2P。我當然不會笨到在公司裡用這些東西,而大姐的結論是,那有可能是中毒或被入侵了。
D日11:35 五分鐘後,大姐帶著一位大個兒工程師(不過看來跟我這種老油條比,還算小朋友吧!)到我座位旁,她出示一份Email,說他們查到我的電腦有用BT,而電腦又是由外面帶進來的,因此要清查一下。工程師看了我的"程式集"選單,看到BTControl,忽然一陣興奮,我說明BT是BlueTooth的意思,他忽然很沮喪,大姐還安慰他"沒關係"(這真是太奇怪了,這麼熱心幫User查問題的MIS還真是不常見,後來我才知道另有隱情)。最後,什麼都沒找到,我問了大姐,那這樣我的MAC封鎖可以開了嗎? 大姐很嚴厲地說,"不行,你的電腦是從外面帶入的,又有不法網路活動記錄,所以不會再開放,請你的主管先調其他電腦給你用",我則追問:"如果OS重灌呢?",她則回答:"如果重灌後經IT部門檢查後再說"。不過我倒從口氣中感覺到她不認為我的電腦還有活起來的可能了。接著她就離開了。
D日11:36在她離開後,我一想不對! 我堂堂的Windows老鳥,居然會大意到自己的電腦不聽使喚,簡直是畢生的奇恥大辱。我趕緊追上去,要了她手上那份Mail紙本,力求要追個水落石出。回座一看,原來是昨天網管抓到一台機器在存取大量6900 Port,應是eMule之類沒錯,在鎖了MAC後,又將這個"用BT的白目"的相關資料給大姐看,要求擬定對策。但是 1)昨天抓到的LOG是在早上8點多,我人還在人事部門新人報到,電腦還沒拆封哩! 2)那個死白目的機器名稱、MAC Address也跟我的機器不一樣。看來這裡面有烏龍囉!
D日11:40 我打電話給網管大哥,一開始他也以為我就那"死白目"本人,但我報了MAC Address,他才說明是早上我的機器有存取172.28.*網段,加上沒加入網域,他們判斷為異常,所以在今天早上鎖了我的MAC。我說明,是我有程式的舊IP設定沒改掉,所以才會有此類活動。網管大大承諾他了解了,稍後會解鎖? (此時我很納悶剛才的大姐說得斬釘截鐵,不會再開放了,怎的這一下就沒事了?)
D日12:00 為了怕網管大大放行的舉動之後被大姐誤會,我特別補了封Mail,向大姐說明事實始末。隨後,大姐回信,說為了資安造成我工作上的不便很不好意思,MAC Address是IT主管搞錯了,未來則會訂立自備電腦的申請流程。我注意到兩點: 1)態度變化很大 2)Mail有CC給副總(我老板的老板)
D日下午老板請我過去副總Office,副總向我致歉,說上午有點誤會...

【麻辣內幕版】(部分內容是我推想的,只是趣味搞笑罷了)

D-1日上午 網管發現有人用BT,將此事含Log通報資安大姐尋求對策
D日上午有某人向網管求助,說MAC被鎖,此事通報到資安處。資安大姐見獵心喜,心想用BT的死白目送上門來了
D日11:00資安大姐詢問IT主管,確認MAC被鎖者的身份。資安大姐請示副總要求嚴懲死白目,並沒收電腦,副總認為此事非同小可,要謹慎,由於當事人的主管外出,要求等其主管回來再處理。
D日11:30 由於當事人可能會掩滅證物,大姐先去電質問,當事人不承認。5分鐘後,大姐協同技術蒐證人員前往,在出示物證(Log Mail)後進行現場蒐證,但並無所獲。(難怪看到BTControl會興奮,發現是BlueTooth會失望,還會安慰沒關係,一切有了答案:) )
D日12:00資安大姐收到Mail,原來MAC Address根本不同,鳥龍一場... 

【心得】

  1. 幸好我懂什麼是MAC Address,什麼是6900,加上多年的辦案經驗、冷靜的分析習慣。換了某個不識網路的嫩小孩,說不定就這麼莫名當了"死白目"而"死不瞑目"。有九陽神功護體,百毒不侵啦!
  2. 新老板與副總看來都是頭腦清晰的理性一族,這是這場驚悚劇中的光明面,可喜可賀囉!


Comments

Be the first to post a comment

Post a comment


68 - 31 =