省公安厅技术中心的灯光从凌晨一点亮起之后就再也没有灭过。

服务器机柜上的指示灯大多已经熄灭，只有离线备份硬盘的绿色指示灯还在有节奏的闪动。

老秦坐在工位上，面前摊着三份技术分析报告和半杯已经凉透的浓茶。

他的眼睛布满血丝，但精神高度亢奋，作为在技术部门工作二十多年的老人，他不甘心失败。

第三次复核了攻击溯源数据，得出了一个让他后背一阵阵发凉的结论。

对方用的攻击工具，是专门针对省公安厅这套文件管理系统底层漏洞定制的，市面上没有任何已知的恶意软件能匹配其特征码。

换句话说，攻击者不仅知道他们要打哪台服务器，还知道这台服务器跑的是什么系统、用的什么版本、打了哪些补丁、留了了哪些备用端口。

这已经不是普通黑客能做到的事情，虽然黑客号称无所不能，省公安厅的系统也是多层加密，防御等级也是极高。

到底是谁泄露秘密？

这时门外传来一阵急促而整齐的脚步声。

老秦抬起头，技术中心的门被推开，省公安厅长王山大步走了进来，他的身后跟着三个人，都是生面孔。

这三个人穿着便装，每人手里拎着一个黑色的设备箱，箱体上没有任何标识，只有一串白色的编号。

走在最前面的是一个四十岁左右的男人，戴着一副银色细框眼镜，身材清瘦但步伐极稳，目光扫过机柜上那些熄灭的指示灯时，眉头微微皱了一下，但很快就恢复了平静。

“王厅。”

“老秦啊，这位是国家网络安全应急响应中心的林工，这两位是他的助手。”王山的声音很沉，但语气里透着一丝难得的放松，“上级派来支援我们省厅的专家，这方面的绝对高手，凌晨三点刚从机场接过来。”

老秦腾地一下站了起来，椅子差点翻倒。

他上前握着林工的手，嘴唇动了动，像是有很多话要说，但最终只挤出了两个字。

“辛苦。”

林工点了点头，没有寒暄，直接把设备箱放在桌上打开，“具体遭受攻击情况我们已经在飞机上看了一遍你们上报的技术报告。攻击方应该是境外的暗网猎手，国际顶级黑客犯罪组织，擅长使用定制化攻击工具和零日漏洞，攻击特征和我们之前在国际上追踪的几个案子高度吻合。你们在受到攻击的第一时间里切断了全部在线服务器的物理电源，这个决定是对的。再晚几分钟，你们的离线备份路径也会被打穿。秦工，你的第一反应救了这批数据一命。”

他一边说一边从设备箱里取出一台笔记本电脑和几台巴掌大的便携设备，动作干净利落。

两个助手也已经各自就位，一个在服务器机柜前蹲下身子检查交换机端口，另一个在旁边的空桌上快速搭建起一套临时网络监控系统。

“但有一个问题我需要先问清楚。”林工推了推眼镜，目光从镜片后面直直地落在王山和老秦身上，“暗网猎手从不轻易接单。他们的要价极高，目标选择极其谨慎，一般只对高价值目标下手，比如跨国企业的核心数据、国家级科研项目、关键基础设施控制系统。一个省级公安厅的涉案数据，虽然敏感，但还不至于让他们亲自下场。他们这次动手，要么是雇主开了一个让他们无法拒绝的价码，要么是雇主本身跟他们有长期合作关系。换句话说，想毁掉这些数据的人，不仅有足够多的钱，还有足够高的权限。这个人，你们在查没有？”

林工说完，技术中心里安静了几秒。

王山和李威彼此对视了一眼，两个人同时想到了那个被标注为“领导”的加密通讯id。

“在查。”李威开了口，“我们有线索，正在想办法追查。”

“那就好。”林工没有追问，只是重新低下头，手指在键盘上飞速敲击，屏幕上开始跳动一行行密密麻麻的命令行。

他把老秦此前采集的攻击流量数据导入自己的分析工具，开始逐层拆解攻击包的结构，每一个数据包的来源、路径、加密方式、伪装特征，都被拆成了最原始的十六进制代码，然后重新拼成一条完整的攻击时间线。

大约二十分钟后，他停下了敲键盘的手指，指着屏幕上一条正在闪烁的红色曲线，“你们来看。”

所有人围了过去，这方面的知识极其专业，李威眉头皱紧，对黑客攻击方面，确实不太了解。

屏幕上是一条网络流量曲线图，时间轴从黑客发起第一次渗透扫描开始，一直延续到老秦物理断电的那一刻。

曲线在大部分时间段里都维持在高位，但在几个特定的时间节点上，曲线突然骤降，然后又迅速回升。

“这几处骤降不是我们防火墙的拦截效果，防火墙当时已经被打穿了。”林工指着那几个低谷的位置，“这是攻击方在调整攻击方向。每次骤降之后，攻击流量就会切换到一个新的目标端口，而且新端口的准确率极高，几乎每一击都能命中你们的薄弱环节。”

他抬起头，看着老秦，“秦工，你在报告里提到攻击方对你们的文件架构和存储路径极其熟悉。现在我可以确认你的判断，攻击方在发动第一轮攻击之前，就已经拿到了你们内部网络的完整拓扑图。他们知道哪台服务器跑的是主控系统，哪台是备份系统，哪台是日志服务器，每一台设备的ip地址、端口号、系统版本、补丁状态，他们都知道。”

老秦的嘴唇哆嗦了一下，“我们内部有泄密点。”

“对。”林工的语气没有任何波动，但眼神里透出一种猎人嗅到猎物气息时的锐利，“而且这个泄密点还在运行。你们的嗅探器日志里有一条记录，黑客在攻击被强制中断后，还向你们内网的某个ip地址发送过两次心跳检测信号，间隔时间精确到毫秒级。这意味着你们内网里有一个设备在回应他们的探测。这个设备目前是离线状态，所以探测失败了，但这个设备的确切位置，就藏在你们省公安厅大楼里。所以你们有没有找到那个隐藏在内部网络的节点？”

李威把马天明调阅电子物证移交清单的流转记录以及马锋被捕当天深夜发给“领导”的那条加密消息的内容，简明扼要地告诉了林工。

林工听完沉默了几秒，然后摘下眼镜，用袖口慢慢擦着镜片。

“嫌疑人已经死了，他身上那部手机又在警方手里，对方不可能再用这台设备发出风险极高的心跳检测信号。他们要么在等待新的内线上线，要么已经确认了当前局势下的安全性。”

他顿了顿，重新戴上眼镜，“现在他们在暗，我们在明，我们要做的不是被动防守，而是反制。用他们的嗅探器，追踪他们的跳板，一层一层剥开他们的伪装，找到他们的老巢，让他们为自己的行为付出代价。我已经把嗅探器反向接入了我们的追踪系统，从这一刻起，他们每发送一次心跳信号，我们就能锁定他们一个跳板的位置。只要他们继续尝试跟内网设备建立连接，我们就顺着这条线摸回去，一个跳板一个跳板地拆，直到拆到他们核心服务器的物理地址。”

他敲了一下键盘，屏幕上调出一个新的界面。

界面上是一幅全球地图，地图上有几个红点在闪烁，那是已经锁定的跳板节点位置，分布在东南亚、北欧、南美等不同地区。

“这场仗，我们要打回去。不是他们想撤就能撤的。”林工转头看着王山和李威，声音不高，但每个字都带着一股铁锈般的韧劲，“他们动了我们的数据，就必须付出代价。”

这时林工推了推眼镜，镜片后面的目光带着一股沉静如铁的决心，嘴角微微上扬，“用他们的矛攻他们的盾。他们不是想盯着我们的一举一动吗？可以，那就让他们看我们给他们准备的虚假数据包，我们就在关键时间节点放出一连串相互矛盾的诱饵情报，看他们急不急。敢动我们的底线，就必须拆了他。”

“对，拆了他，直接开干。”