陈默的手机还在响，是运维主管回拨过来的确认电话。

　　他抬手直接挂断，目光钉在主屏上那条不断闪烁的日志记录：**“SSH爆破尝试，来源IP已加入黑名单。”**

　　“加了也没用。”许文远盯着防火墙日志，声音绷得发紧，“对方换IP的速度比我们封禁还快，像是有代理池撑着。而且……”他顿了顿，“他们专打`admin_backup`这个账号，连命名规则都摸准了。”

　　陈默没说话，手指在桌边轻轻敲击。

　　三下短，两下长，停顿，再三下——这是他前世写代码时用来稳住节奏的习惯动作。

　　他知道这意味着什么。

　　这不是随机扫段攻击，是冲着命门来的精准打击。

　　陆子鸣不光雇了黑客，还挖到了他们系统架构的底细。

　　“备份账户权限是多少？”陈默问。

　　“读写全开，毕竟要能自动拉数据。”许文远咽了口唾沫，“但平时外网进不来，只有内网或者跳板机才能连。”

　　“现在呢？”

　　“刚刚你下令关端口，我已经让运维切走了公网访问权限。”许文远调出操作日志，“双因素认证也启了，短信+动态令牌，硬性绑定设备指纹。”

　　陈默点头：“数据库那边呢？”

　　“正在走加密迁移。”许文远切到另一块屏幕，“AES-256加密，打包后往离线硬盘导。不过……量太大，估计得两个小时才能传完。”

　　“不够。”陈默站起身，“两小时足够他们撞开一次弱密码，或者找到配置漏洞。”

　　他走到白板前，抓起记号笔唰唰写下几个词：**爆破路径、权限映射、横向移动、数据出口。**

　　“他们既然知道`admin_backup`，说明内部信息已经泄露。”他圈住中间两个字，“我们现在防的不是入侵，是内鬼带路。”

　　许文远愣了一下：“你是说……有人泄密？”

　　“不一定是有意。”陈默笔尖一转，在“配置文档”四个字上画了个叉，“可能是哪个开发把config文件传到了私人网盘，或者是测试环境用了明文密码。只要被反编译过一次，他们的社工库就能拼出整套登录逻辑。”

　　空气一下子沉下来。

　　工作室里只剩下风扇转动的声音。

　　许文远忽然想起什么：“等等，上周我们给新来的外包看过部署手册，是不是……”

　　“谁经手的？”陈默打断。

　　“老李带的，说是集团合作项目需要报备。”

　　“查他所有提交记录，特别是最近三天。”陈默语速加快，“另外，通知所有核心成员，立刻改密，旧密保全部作废。别用微信传验证码，用独立App生成。”

　　许文远飞快记下指令，正要转身，大屏突然跳出一条新警报：

　　**“检测到异常数据库连接请求，目标表：user_payment_info。”**

　　支付信息。

　　用户的银行卡、身份证、收货地址全在里面。

　　一旦泄露，平台明天就得关门。

　　“操！”许文远猛地拍键盘，“他们开始捞真实数据了！”

　　“切断所有外部连接。”陈默声音冷得像铁，“现在就把数据库设为只读模式，禁止任何写入和导出操作。”

　　“可这样会影响正常交易啊！”许文远急道，“骑手派单、商户结算全卡住。”

　　“卡住总比爆雷强。”陈默盯着那条连接请求的来源IP，“而且你看，这个请求是从内网发起的。”

　　许文远瞳孔一缩。

　　内网？

　　那就意味着——黑客已经进来了。

　　“不可能！”他摇头，“跳板机有行为审计，要是被人登了早该报警了。”

　　“除非是合法身份登录。”陈默眯眼，“比如某个运维的账号被钓鱼了，或者终端中了木马。”

　　他一把抓起对讲机：“所有人注意，立即断开远程桌面连接，关闭共享剪贴板功能。接下来半小时，禁止任何人在非登记设备上登录管理后台。”

　　话音未落，技术员小张探头进来：“陈总，刚才那个加密迁移任务……中断了。”

　　“为什么？”

　　“传输进程被强制终止，日志显示是人为操作。”小张脸色发白，“执行命令的人，账号是……林工。”

　　林工是负责数据库维护的老员工，入职三年，背景干净。

　　“他现在在哪？”

　　“刚去茶水间了。”

　　陈默眼神一凛：“许文远，你现在就去把他手机收了，别惊动他。另外，调他电脑的远程控制记录，看有没有被控痕迹。”

　　许文远拔腿就走。

　　五分钟后，他回来，手里拿着一部手机，脸色难看：“他手机上有两个陌生App，一个叫‘云协通’，一个叫‘远程助手’，都是今天上午装的。”

　　“来源呢？”

　　“短信链接下载的。”许文远点开聊天记录，“伪装成IT部门发的通知，说系统升级要安装辅助工具。”

　　典型的钓鱼套路。

　　陈默冷笑：“陆子鸣这招够狠，不光砸钱，还玩心理战。知道我们忙得脚不沾地，就趁乱塞毒。”

　　“现在怎么办？”许文远问，“要不要报警？”

　　“先不急。”陈默盯着监控画面，“他们还没拿到核心数据，说明还在试探。我们现在动手，反而打草惊蛇。”

　　他转身走向服务器机柜，拉开最底层的抽屉，翻出一块老旧的U盘。

　　“这是我留的‘黑盒’。”他插进主机，“里面有个隐藏服务，能模拟数据库响应，但所有数据都是假的。”

　　“你是说……反向钓鱼？”

　　“对。”陈默启动程序，“让他们以为攻进了主库，实际上拿到的全是伪造用户信息。比如张三的卡号其实是李四的生日，王五的地址指向郊区垃圾处理站。”

　　许文远眼睛亮了：“等他们拿这些数据去做风控模型，直接崩盘。”

　　“不止。”陈默嘴角微扬，“我还埋了个追踪脚本。只要他们用这组数据做任何外部查询，就会反向暴露他们的分析服务器位置。”

　　“太损了。”许文远笑出声，“但他们会不会怀疑？”

　　“会。”陈默合上机箱，“所以我们要演得真一点。让他们看到真实的表结构，真实的字段类型，甚至真实的加密方式——只不过内容全换了。”

　　他调出伪造系统的界面，输入一串命令。

　　屏幕上缓缓弹出一行提示：

　　**“蜜罐系统已激活，等待连接…”**

　　就在这时，主屏再次闪红：

　　**“发现新连接请求，目标：fake_user_db。”**

　　成了。

　　他们咬钩了。

　　“记录IP，抓包分析。”陈默低声下令，“等他们开始批量导出，再触发定位反制。”

　　许文远正要操作，忽然皱眉：“不对劲。”

　　“怎么？”

　　“这个请求……没走常规端口。”许文远放大流量图谱，“他们是通过WebSocket隧道连进来的，伪装成前端心跳包。”

　　这意味着对方有高级渗透手段，甚至可能拿到了部分源码。

　　陈默眼神一沉：“说明他们不止一个黑客，是个团队作战。”

　　“那咱们的蜜罐还能骗住他们吗？”

　　“能。”陈默敲下回车，“因为他们不知道我们知道他们知道。”

　　许文远一愣，随即反应过来：“你是说……他们以为自己很隐蔽，其实已经在我们的监控下了？”

　　“对。”陈默盯着不断跳动的连接数，“让他们尽情下载。等他们以为胜券在握，我们就把这份‘战利品’原路送回他们老板桌上。”

　　“怎么送？”

　　“用他们的登录凭证。”陈默冷笑，“既然能钓鱼，也能反钓。我让蜜罐在每次响应时悄悄种个轻量级回传模块，等他们本地解压数据包，自动上线。”

　　许文远倒吸一口凉气：“这相当于在他们电脑里安了个摄像头。”

　　“不止。”陈默打开一段加密脚本，“我还加了文件标记水印。哪怕他们截图转发，也能追到具体设备。”

　　两人正说着，大屏突然刷新：

　　**“检测到大规模数据导出行为，速率：1.2Gbps。”**

　　“开始了。”许文远握紧鼠标，“要不要现在反制？”

　　“再等等。”陈默盯着进度条，“让他们多拿点，拿得越多，摔得越疼。”

　　时间一分一秒过去。

　　导出持续了整整十七分钟。

　　直到对方突然中断连接。

　　“跑了？”许文远疑惑。

　　“不是跑。”陈默摇头，“是发现了异常。”

　　果然，几秒后，防火墙日志更新：

　　**“检测到同一IP多次尝试连接备用C2服务器。”**

　　C2，命令与控制服务器。

　　黑客发现自己被反追踪了，正在切换阵地。

　　“现在可以动手了。”陈默敲下最后一行命令，“把蜜罐里的水印数据包，通过他们自己的跳板机，反弹回去。”

　　许文远按下确认键。

　　屏幕上，进度条逆向推进。

　　**“反向注入完成，目标服务器已上线。”**

　　紧接着，一张截图自动弹出：

　　某办公内网电脑桌面，正开着一份名为《竞对平台用户数据_v3.xlsx》的文件。

　　文件右下角，清晰显示着用户名：**luziming@msc-tech.com.cn**

　　陆子鸣的邮箱前缀。

　　许文远忍不住笑出声：“这家伙亲自在看？”

　　陈默没笑。

　　他截下这张图，新建一封邮件，收件人填上陆子鸣的公开商务邮箱。

　　正文只写了一句话：

　　“您要的数据，我帮您验过了，全是假的。”