发现无线网络的SSID已经被修改，宇忍气继续查看，在查看到MAC地址过滤处时， 发现下面的黑名单中赫然列出一串公司内部员工所用的笔记本MAC地址，原来都被禁止访 问了。当看到历史连接用户显示为这些天来一直阴魂不散的陌生主机MAC时，宇终于忍不 住了。

二话不说，提着笔记本就冲向周围的几个办公室，到底谁在上网?宇气急败坏地挨个办 公室检查。

该死，他在哪里?从哪里来的?宇突然痛恨起这无线网络来，丝毫不记得这款Belkin 无线路由器还是自己在上个月购买的。

终于要离开这个城市了，虽然时间不长但却很有意思，Kevin紧了紧电脑包的带子，拉 着箱子，跟着前面的人在机场候机厅21号柜台前排队等待换登机牌。回过头，望望后面大 门出口外蓝蓝的晴空，回想起上午临走前给对方留下的恶作剧，不由地好笑了。

案例4 服务器也有遗漏-VPN无线攻防小记

1.服务器上出现异常

2011年10月19日。

“郁闷，只差两分就过了”，伟对着屏幕喃喃自语。自从上个月CCIE机试没通过之后， 办公室里就经常能听到伟无助的叹息声，每一个路过他座位的同事都会带着怜悯的眼光摇一 摇头。伟扫了一眼一边贴着的“维护人员安全规定”，决定下班前先检查一下服务器曰志， 就从FTP开始吧。

有人以root身份登录了公司FTP(如图0-15所示)，突然出现的登录日志吓了伟一跳。 不可能啊，公司只有我一个人有权限啊?伟仔细看了看FTP服务器上的其他日志，这个登 录来源IP对应的MAC属于现网中并不存在的主机。

伟回想了一下这些天公司的诸多事情，除了昨天下年公司周末加班时在公司会议室临时 使用无线网络登录FTP服务器下载资料外，再没有人让帮忙查询公司资料的。难道是遭到 中间人攻击，密码被截获了?也不太可能，内部几乎所有服务器上都安装了几款不同的ARP 防火墙，这几天并没有异常ARP报文报警。

伟快速登录网关的硬件防火墙，进入日志中仔细查看ICMP及ARP协议类型的日志， 也没有发现明显的疑点。见鬼了?回想起公司最近参与的几个涉密项目，为了以防万一，伟 赶紧查看了一遍FTP服务器上放置的数据，目前除了几个需要root权限的目录外，其他主 要是一些零碎的办公室文件，还有MP3、RMVB电影以及几款最近流行的诸如“植物大战 僵尸”之类的小游戏。不过当伟看到那几个root权限的目录时，还是不由地吸了一口气。上 面居然有一个名为Code的目录，里面是哪个粗心的研发人员临时放置的研发中间代码。

回想了一下，这个目录应该是两个月前内部FTP服务器建立初期，公司未任命专职安 全员前那段混乱时间建立的，自己在数周前接手时看到是root级权限，也就没在意。现在看 来，还真是挺危险的。伟迅速联系了研发组的同事，在确认这些代码已有备份后迅逮删除了 该目录。然后伟又再次浏览了一遍内部FTP服务器的全部文件，确认没有敏感文件和安全 隐患后退出了FTP。不过在退出前，伟还是留了个心眼，升级了FTP服务器版本，并再次 修改了root密码为16位高复杂度的组合，这样应该安全了吧。

2.偶然还是必然

没想到居然能这样进入他们的服务器?枫看着昨天下载回的几个源代码文件，还是 python编写的。这几个代码是某个整体代码的一小部分，但是看了几段内容，翻了一下支持 类型库后，枫还是判断出这应该是某个面向手机终端用户开发的在线支付认证平台代码。

回忆起昨天那次偶然的入侵行径，枫就有些哭笑不得。下午去高新区办完事回来，路上 闲得无聊，便在街角的星巴克二楼要了杯摩卡，无意中搜到这个使用WEP加密的名为test 的无线网络(如图0-16所示)，一时兴起就花了20分钟测试了一下WEP密钥。不过当时并 没有尝试直接连接，而是对这个无线网络又抓了两三个小时的数据包。

之后在二楼靠窗的座位上，使用之前破解的WEP密码对这些加密的无线数据包进行解 码。很快，Cain就完成了解码工作(如图0-17所示)，枫对着Cain那个红黑色相间的标志满意地点了点头。

不过在对这些数据包进行分析时无意中获取了几个Web账户及密码，甚至还有一个FTP 服务器的root账户和密码。看到这个FTP密码居然是长达14位的高复杂度密码(如图0.18 所示)，枫不由地来了兴趣：什么服务器的密码这么复杂?难道服务器上有什么好玩的东西?

既然这个FTP服务器上没有强制要求使用SFTP，那就索性上去看看。枫迅速在无线网 卡中设置好连接参数和WEP密钥，连接到这个无线网络。然后随手打开CMD，输入这个 FTP服务器的IP，以root账户成功登入(如图0-19所示)。

映入眼帘的首选是几个目录，上下拖动滑块，其中一个只有root具有读写权限的目录显得 格外引入注目。枫立刻就点开了这个目录，作为一个对编程无比热爱的高级程序员，再没有什 么比Code这个子目录名称更吸引人了。不过由于不想连接太长时间，枫在进入子目录后，只是 将第一个大小为5MB的名为codel.zip的压缩包下载到了本地，便断开了连接。

后来在解开压缩的时候遇到了一点小麻烦，这个ZIP文件居然加密了!不过这点事情难 不倒枫，在回到自己家中的工作室后，枫使用了Elcomsoft的某款商业化ZIP高速破解工具来 进行破觯尝试。不过没想到这个并不太长的8位密码，由于其高复杂度，还是花费了3个小 时才被破解出来(如图0-20所示)。于是枫就看到了先前所说的几个源代码文件。

3.另一种方式

2011年10月29日。

研发项目一忙就忘记了很多事情，今天在调试完最后一段代码后，枫在整理自己的笔记 本时，无意中又看到了那几个python源代码文件。算起来已经过去10天了，不知道那个FTP 现在怎么样了，枫决定再去碰碰运气，不过要更小心一点。

还是下午的那个时间，枫又来到了星巴克，坐在同样的座位上，开始尝试着连接那个无 线网络。居然又连进去了，他们居然没有改无线密码?枫惊讶地尝试登录FTP，发现这次被 拦在了外面，看来对方修改了root密码。

枫迅速对内网其他主机进行了端口扫描，发现这台服务器除了FTP之外，居然同时开 启了PPTP VPN端口(如图0-21所示)。

枫想了想，决定还是采用EtterCap+嗅探的方式对该无线网络进行监听，总会有人使用 无线网络登录VPN的，不过为了加快获取VPN Hash的速度，枫还是向VPN端口发送了一 批D.O.S攻击报文，适当地骚扰攻击还是必要的。稍等了10分钟左右，EtterCap下面清楚 地显示出捕获到了几个PPTP账户及密码Hash(如图0-22所示)。

图0-22

挑着看了看捕获到的PPTP Hash，发现是典型的MS-CHAP加密方式，账户是YF-Iiu， YF是什么意思?又等待了一会儿，枫满意地断开无线网络，合上笔记本，回家进行下一步 的破解。

“今天是怎么搞的?”刚刚坐下看了一会儿CCNP中的VoIP学习资料，伟就被同事们的 叫嚷声打断。VPN断了，怎么可能?听了几个正通过VPN连接公司总部内部FTP站点工作 的同事们的反映，伟觉得很奇怪，于是登录VPN看了看，就是连接不上，Ping了一下主机， 发现出现丢包现象。

不过该现象只持续了一会儿，过了约5分钟左右又正常了，伟看着Windows中那些反 映VPN服务异常的，模棱两可的曰志，发现并不能看出什么。伟用自己的账号登录了VPN， 发现确实恢复了。正在纳闷中，研发组的人又来询问，得知可以登录后，便急忙纷纷登录继 续自己的工作。

还真是奇怪，伟自言自语道。想了想，还是先放到一边继续学习CCNP了。

4.来自于VPN的入侵

2011年11月4日。

已经两周多了，似乎FTP日志上再没有出现非法root登录事件，伟继续翻了翻日志， 觉得仍然不得其解，难道上次遇到的是病毒?

自从那天下午截获到一个无线网络内部用户登录VPN的数据包后，枫就花了两个晚上 破解这些VPN账户，结果除了一个采用复杂密码的账户外，其他两个账户的密码都已经破 解出来(如图0-23所示)了，居然都是生日密码。枫顾不上感慨ASleap的好用，直接就在 一大早再次连接了这个总是带来惊喜的无线网络。

图0-23

不出所料，这个带有YF标记的账户果然是研发人员使用的，如图0-24所示，当枫真的 通过内部VPN连入公司总部内部FTP后，望着一串串内部的目录，还是禁不住咽了咽口水， 全是代码，这么多内容….

2011年12月17日。

“还真奇怪，这已经是第3次了，为什么会有其他公司 开发的软件和我们的思路基本一样呢?价钱不但比我们的 低很多，进入市场的速度比我们还要快。你们研发是干什么 吃的?开发这么慢”某公司内部例会上，销售总监对着研发 总监怒吼。

坐在桌旁的伟面无表情地看着这一切，心想：这和我又 没关系，我只要维护好服务器就行了……

真的是这样吗?坐在星巴克某个“固定位置”的枫一边 对送上coffee的漂亮服务员微笑着，一边按下了【Enterl 键…… 图0-24