繁体版 简体版
百川小说网 > 负债清算我用系统追回全城 > 第五十四章:镜像指纹

第五十四章:镜像指纹

早上七点二十六,医院行政楼的走廊被晨光切出一条狭长的灰白。

林昼从值守椅上起身时,腿有些发麻。昨夜的红点、告警、洪峰节奏像还贴在眼皮上,闭上眼都能看见“ghostsigner”那行字在屏幕上闪。他把西装外套披上,手指下意识摸了摸口袋里的硬件令牌――不是因为他需要签名,而是因为那枚冰冷的塑料外壳能提醒他:门闩还在,别松。

信息安全负责人已经在会议室里等着,桌面上摊着一页打印的临时方案,标题写得很直:**“模板仓溯源专项(院方配合清单)”**。上面列了三列事项:平台侧动作、监管侧动作、院方配合点。

周负责人也在线,视频窗口里他眼下青黑,但声音仍稳:“平台今天要查的是镜像来源链。只要能证明‘agent模板’被复制或外泄,幽灵签**就不再是一个孤立事件,而是‘持续性攻击’的证据延伸。你们医院要配合两点:第一,确认任何签名请求都不落地到个人手机;第二,所有对外沟通只讲事实数据,不讲情绪。”

林昼点头:“临床双通道昨晚保持零中断,延迟峰值与持续时间已经固化。对外只用这两项。”

监管联络人把一个文件抛进群里,是一份正式盖章的通知:**《关于证人保护与反报复的提醒函》**。内容比他们内部讨论更硬:不得对任何配合取证人员进行调岗、降薪、停职、劝退,不得要求签署预设结论文本;违反者视为妨碍调查,纳入不配合记录并移交进一步处置。

信息安全负责人扫了一遍,低声说:“这份提醒函要尽快抄送原医院人事和信息科,尤其是那位副主任。让他们知道,‘谈话’不能再玩文字陷阱。”

林昼没说话。他知道提醒函不会让所有人收手,但它能让施压者的成本变高。成本一高,很多阴暗动作会从“顺手”变成“要冒险”,冒险的人就会变少。

桌角的手机轻轻震了一下,清算系统弹窗跳出:

清算进度:48%

今日关键节点:模板仓访问链

建议:锁定“复制者”而非“操作者”风险:替罪羊加速

林昼看着“替罪羊加速”,心里像被什么拧了一下。q7昨夜那句“他们会甩锅给devops_x”一直没散。替罪羊不是结案,是掩盖;掩盖的背后,往往还有更大的东西需要被藏起来。

如果他们急着把一个工程师推出去,说明真正的责任链可能指向更高的位置。

高的位置,才有能力把“默认绕过”变成默认。

---

上午九点四十,平台协查联系人发来第一批溯源结果。

他没有发长篇解释,只丢出两张对比图:一张是供应商agentpool常用基础镜像的指纹摘要(层哈希树),另一张是海外云虚拟机里抓取到的镜像层指纹摘要。两张图上,九成层哈希完全一致,只有最顶层多了一个轻量包:一个名为**ghostsigner**的二进制文件,以及一个配置文件**signer.conf**。

“这不是像。”平台协查联系人说,“这是同一棵树上长出来的枝。外部那台机器,几乎就是从供应商的agent模板克隆出来的。”

网安技术支撑人员把问题往下压:“关键在‘从哪里拉出来’。我们需要仓库访问记录。供应商agent模板通常存储在私有镜像仓(registry)或制品仓。只要能拿到registry的pull记录,就能看到谁在什么时间把模板拉走。”

周负责人补充:“还要看推送记录。很多企业为了提速,会把私有镜像推一份到半公开仓库或边缘节点。若存在‘镜像镜像器’,会留下推送账户与流水线。”

信息安全负责人立刻安排内部协助:“我们院方能提供的只有一件事:把供应商昨天封存的cicd镜像数据与平台比对。供应商若拒绝交出registry日志,监管就要发强制提取。”

监管联络人在群里回:“已发要求。时限两小时。拒绝或拖延,视为严重不配合。”

两小时的时限像一把闸刀,逼得供应商必须在“配合”和“升级处置”之间选一个。对方之前还能靠律师函、商誉、影响面去谈条件,现在条件越来越少。

十点五十六,供应商终于回了一个“配合方案”,但仍想耍花样:只提供“摘要统计”,不提供原始pullpush日志,理由是涉及多客户隐私。

网安技术支撑人员直接拒绝:“我们不看摘要。摘要不可验证。你们可以做多租户脱敏,但必须保留字段完整性:时间戳、源ip、账户标识、镜像名、digest。否则等于没提供。”

周负责人也补刀:“脱敏可以,伪造不行。我们会对比平台侧抓到的digest。对不上,就是造假。”

供应商这才彻底安静。

---

十一点三十,一条更刺眼的消息传来――原医院的信息科在内部网发布公告,正式对devops_x做停职处理,并要求其“配合公司与院方调查,签署情况说明”。

公告被人转到监管群里,周负责人只看了一眼,就让法证员做了两件事:截图固化、哈希封存。

监管联络人随即把刚下发的“证人保护提醒函”回抄给供应商合规负责人,并追加一句:“停职不违法,但不得附带预设结论文本,不得以停职威胁证。请在两小时内提交你们对devops_x采取措施的依据、流程、谈话记录与文本模板。我们将审查是否存在不当施压。”

供应商合规负责人这次回复明显变慢,像在和上级反复沟通后才发出一句:“我们会调整沟通方式。”

“调整沟通方式”翻译过来就是:他们知道自己踩线了。

林昼坐在会议室角落里,看着群里这些冷冰冰的文字,忽然想起父亲昨晚那句“他们怕你们急”。对方越急着定性个案,越说明他们怕“模板外泄”这条线把责任抬到治理层面。

治理层面一旦坐实,追偿就不再只是“赔钱”,还可能牵出行政处罚、行业信用、甚至刑责边缘的风险。

那是他们真正害怕的。

---

中午十二点零八,q7又来邮件。

这一次只有一行数字:**“buildbot_mirror”**。

没有解释,没有附件,像丢来一把钥匙的名字。

林昼没有回复,按流程把邮件头与这行字转交周负责人与网安,并在备注里写清:线索可能指向“镜像镜像器账户”。他不做推断,因为推断会给对方反咬的空间。

网安技术支撑人员立刻接话:“如果存在buildbot_mirror这样的账户,多半用于镜像同步。我们要在registry的push日志里找它。找到它,就能定位是谁把私有镜像推到了外部可拉取的位置,或者推到了一个被外部拿到访问凭据的仓。”

周负责人点头:“这条线很关键。操作者可以是任何人,但镜像同步账户的创建与授权通常在更高层。能解释‘为什么外部能拿到模板’。”

监管联络人直接把“buildbot_mirror”列入取证新增重点项,要求供应商在时限内提交该账户的创建记录、权限范围、最近30天操作日志、绑定的mfa与令牌管理情况。

供应商开始进入真正的“被动配合”状态:他们不再谈“影响面”,而是在问“要哪些字段”。这说明他们心里清楚:再拖就会升级。

---

下午两点二十五,供应商交出了第一批registry原始日志(脱敏版)。

日志被加密传输到取证封闭环境,由取证员计算哈希后再打开。屏幕上滚出密密麻麻的记录,每一行都像一颗小螺丝,螺丝越多,越能拼出完整机器。

网安技术支撑人员先做了一个筛选:按镜像digest定位到与agent模板一致的那一组层哈希。很快,关键记录浮出来:

***push**:agent-base2025.12.25(digest与平台捕获一致)

账户:buildbot_mirror

来源ip:供应商边缘节点网段

时间:2025-12-292317

***pull**:agent-base2025.12.25(同digest)

账户:匿名(tokenless)

来源ip:海外云服务商弹性公网

时间:2025-12-300158

“匿名(tokenless)”四个字让会议室里的人同时沉了一下。

匿名拉取意味着镜像仓存在某种“公开可读”配置,或者某个临时令牌被当成公共令牌使用;更危险的是,它可能意味着镜像被同步到了一个“对外开放”的仓,而供应商自己还以为那只是“缓存节点”。

周负责人问:“这个镜像被推到了哪里?私有仓为什么会出现匿名拉取?”

『加入书签,方便阅读』