對于黑客的認知猶如外界對魔術(shù)師感覺一樣，那種充滿神秘感的帥氣像毒品一樣吸引著眾多人無法自拔的從單純愛好演化到成為一生的職業(yè)，有時候就連我自己也會幻想著有一天，可以有人用驚詫的眼神，浮夸的語調(diào)以及略帶崇拜的肢體對我說一句，哇塞！黑客耶，還要是個漂亮的軟妹子，直到有一天,一位五大三粗留著寸頭，不修邊幅還有狐臭，西裝筆挺噴了香水的硬漢用粗曠高昂的語調(diào)喊出那句，我操，你是黑客的時候我腸子都裂了，那感覺好像我盜了他草榴賬號，刪了他100T tokyo hot一樣。或許他只是驚詫腦殼里幻想的黑客形像應(yīng)該不是我這個樣子。

就像世人對俠客的偏見一樣，所有的蓋世英雄都是威武雄壯，四肢挺拔，五官明確。理想和現(xiàn)實就像五花肉一樣肥廋分明你中有我。

其實在黑客世界中是有分類的，就像漢堡的世界有雞腿漢堡和牛肉漢堡，黑客只是一個總稱，黑客大致分為：黑客、駭客、紅客、白客、灰客。

黑客：擁有高超計算機水平有職業(yè)道德的人

駭客：利用計算機技術(shù)搞破壞或盜取信息的人

紅客：具有愛國精神的黑客

白客：網(wǎng)絡(luò)中的大善人四處幫別人補漏洞的人：）

灰客：專注軟件破解的人

同事萬鵬就是這樣一位具有極高愛國情操的紅客，也是我進入公司第一個和我打招呼的熱心人，因為他就坐我隔壁，因為對技術(shù)都比較喜愛，時間久了之后我們之間的稱呼也更加隨意，我叫他老萬他叫我老馮。

在甲方做安全工程師其實很多時候是無聊的，總是重復重復重復重復著重復，唯一的樂趣就是每個季度的滲透測試工作，可以偷偷的審閱同事電腦里的AVI以及誰又在利用公司的帶寬撫慰著夜晚自己寂寞的情緒，我倆也算是為了祖國的鑒黃事業(yè)鞠躬盡粹不厭其煩，這對我和萬鵬來說這也算開葷了，有時候我們也會做做好事，把同事A那里發(fā)現(xiàn)的新片子挪給因工作太忙而無法更新片子的同事B。

因為公司的內(nèi)部網(wǎng)絡(luò)沒有嚴格劃分區(qū)域，也沒有使用ACL進行訪問控制，所以我跟萬鵬在內(nèi)網(wǎng)里也能撩的很開，演義著屬于我們自己的俠義。

公司內(nèi)網(wǎng)不做嚴格的網(wǎng)絡(luò)區(qū)域劃分和嚴格的訪問限制這點在企業(yè)內(nèi)部網(wǎng)絡(luò)是很常見的，這其中醞釀著很多的風險，比如，當網(wǎng)絡(luò)中爆發(fā)ARP病毒時整個網(wǎng)絡(luò)環(huán)境內(nèi)的電腦都受牽連，不是集體斷網(wǎng)就是集體密碼被竊。

又或者對公司懷恨在心的員工跨業(yè)務(wù)對重要數(shù)據(jù)做手腳。

又又或者駭客跨網(wǎng)絡(luò)環(huán)境竊取核心數(shù)據(jù)。

我跟萬鵬所在的公司屬于又又或者的那一類，集團下屬有兩間子公司都有各自的內(nèi)網(wǎng)以及分開的業(yè)務(wù)，搞笑的是兩個原本不應(yīng)該存在網(wǎng)絡(luò)交集的子公司偏偏在OA和ERP共用了一個內(nèi)網(wǎng)。然后A子公司為了節(jié)約成本將公司的官網(wǎng)放在了這個內(nèi)網(wǎng)中并開啟了公網(wǎng)訪問。

做為社區(qū)交友類的公司，我們的用戶數(shù)據(jù)其實是被很多駭客看在眼里的，在網(wǎng)絡(luò)中我也遇見一些人找到我，出高價讓我偷一份用戶數(shù)據(jù)進行出售，價錢高的嚇人，可是我從來就沒有心動過，或許有那么短暫的好幾天我動搖了，但是我很快就用我的理性戰(zhàn)勝了我的獸性，像我這么有節(jié)操的人怎么能干出這種吃里扒外的事情，當時我就給丫拉黑了，連再見都來不急說而因此良心不安了好幾個小時。

東窗最后還是事發(fā)了，領(lǐng)導有一天非常生氣的把我和萬鵬叫到辦公室怒斥，公司給你們發(fā)工資每個月那么多錢，你倆還能不能干了，不能干就滾蛋，當時我就嚇尿了，是不是我跟萬鵬做AV搬運工學雷鋒的事情讓領(lǐng)導發(fā)現(xiàn)了，我媽從小就教育我，做錯了事情要承認，就在我要開口認錯的時候萬鵬開口了，對不起領(lǐng)導不會有下次了，如果有下次我主動離職，我聽到這里的時候已經(jīng)驚呆了，這是要作死的節(jié)奏呀，雖然萬鵬常常把no zuo no die why you try掛嘴邊，我還以為這口頭禪是說著好玩炫耀英文呢，敢情是要來真的，太入戲了。

領(lǐng)導看了萬鵬一眼沒有說話，估計是讓那份誠懇給感動了，打開一封郵件說，你倆過來看看，咱公司的用戶數(shù)據(jù)庫讓駭客給搬出去了，給你倆1天時間去查查那出問題了。

這其實是個不可能完成的任務(wù)，入侵取證的基礎(chǔ)是日志，而公司里無論是內(nèi)網(wǎng)環(huán)境還是生產(chǎn)環(huán)境是不啟用日志記錄的，這種現(xiàn)象在其它一些公司也是常見的事情。

其實開啟日志也不是要全部字段都需要記錄，只記錄一些關(guān)鍵的字段至少在取證環(huán)節(jié)也是有幫助的，比如：登陸IP、登陸賬號的失敗與成功、時間等關(guān)鍵信息。

我跟萬鵬回到工位討論著各種可能，也嘗試著登陸服務(wù)器看看是否有存在異常賬號、可疑文件和后門，倒是發(fā)現(xiàn)了一個pcshare的遠控木馬，雖然通過抓包反向找到了上線的服務(wù)端地址，利用注入漏洞控制了那臺服務(wù)器的最高權(quán)限，但這并不能解決領(lǐng)導給我倆的任務(wù)，找到出問題的地方。

眼看到了吃中飯時間A子公司的網(wǎng)管高琪過來找我倆吃飯，（因為劇情需要A子公司跟我們在同一個辦公樓而且樓上樓下同時關(guān)系要好，哼！），看見我倆郁悶的表情就問怎么了，我倆把事情的經(jīng)過說了一遍又給高琪看了從服務(wù)器上發(fā)現(xiàn)的那個pcshare遠控木馬dadengjiu.exe，高琪看見這個木馬文件就興奮了。

說這個文件在他們的官網(wǎng)服務(wù)器上也發(fā)現(xiàn)過，以前不知道是什么所以給刪了，還以為是系統(tǒng)的臨時文件呢，而且又告訴我跟萬鵬一個驚詫的消息，他們官網(wǎng)的服務(wù)器跟我們公司的ERP/OA系統(tǒng)在一個網(wǎng)段，因為沒有做網(wǎng)絡(luò)隔離和訪問控制策略所以是能訪問到我們這邊的。

我跟萬鵬常做滲透測試我們怎么沒有發(fā)現(xiàn)呢，或許是本能的認為里面沒有我們想要的小天地吧。

因為我們是大內(nèi)網(wǎng)所以ERP/OA的服務(wù)器是可以以內(nèi)網(wǎng)的身份訪問到生產(chǎn)環(huán)境的，想通了這個邏輯之后，我腸子又裂了，讓我突然間明白了一件事情，如果你在一個集團公司做安全工程師，不要只把學雷鋒做好事的范圍局限在自己的網(wǎng)絡(luò)，也要嘗試一下能不能把這種美德延展到同宗兄弟的子公司。

解說：遠控木馬

采用http反向通訊，屏幕數(shù)據(jù)線傳輸，驅(qū)動隱藏端口過程等技術(shù)，達到系統(tǒng)級別的隱藏，由于結(jié)合最新rootkit技術(shù)用一般的殺毒軟件無法查殺。

技術(shù)性的解釋總是那么的讓人難以理解，按照本書的慣例我將用更白話的語言解說什么是遠控木馬。

隔壁老王有個孩子聰明伶俐五官明確，在成長經(jīng)歷的某個巧合發(fā)現(xiàn)老王不是自己的親爹，于是就踏上了尋爹道路找到了我，為什么能找到我呢。

因為18年前我當?shù)谝淮慰匆娎贤跸眿D的時候，我就決定，老王這個鄰居我交定了，后來老王媳婦有了我的孩子，在遠控里叫rootkit技術(shù)，他上門尋爹，叫反向連接。

點評：

大內(nèi)網(wǎng)現(xiàn)象或多或少在當下的企業(yè)環(huán)境中還是存在的，只是有些明顯有些很明顯，其危害和后果除非經(jīng)歷過，通常情況還很多沒有安全思想的管理員還是會偏愛大內(nèi)網(wǎng)多一些，必定節(jié)約了相當大一部分工作量。

引用一句臺詞：出來混早晚是要還的，沒感知到不代表就是沒有問題的。

請參照以下意見

1.生產(chǎn)環(huán)境、測試環(huán)境、辦公環(huán)境要明確劃分；