leoleoleo

不用用自己的设备用于公司办公啊，你自己先看看公司的员工手册和信息安全相关的规定呀，是否允许使用自带设备办公，既然要开始做入网的安全合规检查，就说明有这方面的合规工作开始推动了，在员工的办公 pc 终端安装安全检测软件，是 it 部门最不想推的工作，会有很多和用户 battle 的事，大家上班谁乐意给自己找事。一般只有管理层面要求或者合规的强制规定，才会推进，这种场景下，去整活，被发现了很容易被拉出来当成杀鸡儆猴的案例的。

如果你的朋友的公司有能用的钱包地址，为啥不能直接公链上交易转，数字货币如果走公链上转账而非交易所内部那种划转，多操作一次就会多支付一次交易矿工费，所以这个逻辑很怪，正常的话没法解释非要这么操作的理由。如果你提供的信息是完全且准确的，这种逻辑只有可能是黑 U 了，一大笔黑 U ，走交易所过一道，分成多个用户提出去，打个时间差，在被冻之前洗到不同的账户里去。

我是部门领导， 我也会看好 A ，职场上不懂就得问清楚，自由发挥捅出一个大篓子，那才真的要命。

看日志，是尝试利用 Log4j 漏洞来给设备中上挖矿木马。是否利用成功，你需要看一下设备的资源占用，cpu 和内存是否有异常的标高，以及系统是否出现了异常的定时任务或者服务。

系统的定时任务和可以的服务啥的都检查了吗，有些基础的后门留存就是写个定时任务或者做个自启的服务，发现后门文件没了，重新去拉一份这种。另外有些更搞的，会直接修改系统的动态链接库，导致很多系统命令查看文件，是不显示恶意文件的，可以找 BusyBox 工具再检查一遍，有没有恶意的动态链接库文件。被黑过的系统，在我们公司默认都是不干净的，都是备份了数据重新装一台新的服务器。

应用本身的漏洞，如果没法定位和修复，就上个 waf 呗，另外如果是上了云的，可以用公有云自带的安全能力，安全上的事，还是需要找专业的人，你们公司看着就是没有安全团队的，不如找个安全服务的公司啥的，如果业务挺赚钱的，安全上的钱别省，如果中了勒索，真的是后悔都来不及。

@qping 可以举一个具体一点的例子，比如话费、游戏和水电费代充这类，特别是那种折扣大，到账慢一些的那种，你转钱给对方，对方用黑钱帮你付款，这种就是呀，他不需要取黑钱呀，收这种合法的就好了。就打一个时间差，从被骗，到报案然后协调冻结账户的时间差。专业洗钱团队， 有很多个这种个人和企业账户同时来操作。诈骗都是集团性质的，人在海外，从写话术的，到打电话的，财务操作的，分工明确，又不是几个人的小作坊。

另一个微信给你转，但是不能自己转？还问你介不介意，反正问你的人是真的介意。

总结一下 op 的说法，感觉是行贿了，怕自己公司被牵连，然后想隐瞒事实。关键是你一个打工的为啥要在这种违法犯罪的事情上替老板对抗执法调查呢，大概率你也有问题要不然就是你搞不清情况，如果和你一点没关系就应该有多远躲多远，和老大哥搞对抗，真的是纯纯给自己找事。

@xwayway tls 握手的时候，不是 http 的请求，是建立连接的过程呀，如果没开始建连接，用户应该连你过的期证书都看不到才对。你先看日志吧，没有任何日志，靠猜来排障真的不太行。