vpn客户端攻击
     第二个客户是exchange 2000 server机器在收发邮件时遇到了备份问题，并且服务器性能很低。我到达现场后发现问题远远要比磁带机失效和服务器太慢严重得多。那台服务器有大量的磁盘活动，cpu利用率也很高。我打开windows任务管理器并按照cpu利用率对进程进行排序。store.exe占据了绝大部分的cpu时间。这个公司并没有很多的电子邮件用户，而且当时只有15个用户与服务器连接。在用户这么少的情况下，exchange不应消耗如何之多的资源。我怀疑邮件存储被破坏了。
     鉴别黑客攻击。我启动了exchange系统管理器（esm），并选择“管理组”*“<管理组名>”*“服务器”*“<服务器名>”*“协议”*“smtp”*“缺省smtp虚拟服务器”*“当前会话”。我注意到有6个会话与smtp虚拟服务器连接，并且连接时间超过了5分钟，这说明服务器出了问题。通常情况下，exchange服务器的会话只会持续几秒钟，除非有个连接正在发送或接收很大的附件。我查看了缺省smtp虚拟服务器上的队列，发现有超过50个队列，它们都处于不同状态（发送邮件或等待重试）。有人正在将该邮件服务器用作中继，但他是怎么做到的呢？该服务器已经装上了最新的service pack（windows 2000 sp4和exchange 2000 sp3）和最新的关键更新，所以我使用open relay database（ordb）的测试（）来确保中继已被关闭，该测试可以检查所提交的主机系统是否开放了中继。
     每当我试图清除一个与缺省smtp虚拟服务器的连接时，该连接都会重新出现，使用的是不同的域名但是有相同的ip模式。我用iana跟踪这些ip地址，发现它们来自分配给中国某家isp的地址段。在确认服务器并没有开放中继后，我得出了结论，有人可能通过了服务器的验证，从而用它发送邮件。备份失败的原因是它试图备份垃圾邮件者发送的所有邮件。我打开“active directory用户和计算机”管理单元，并删除所有无效的用户。我还注意到administrators组中有未授权的用户，也把它们删除。然后我检查了注册表，并没有找到有任何黑客程序通过“run”子项加载。我还对服务器运行了病毒扫描，服务器并未被感染。
     为了阻止垃圾邮件发送者继续发送消息，我将防火墙与internet断开，然后删除exchange服务器上的所有活动会话。我试图使用esm删除邮件队列中的消息，但这样要花的时间太长。所以我停止了所有exchange服务，打开命令提示符，用del命令从d:\exchsrvr\mailroot\vsi 1\queue目录删除所有消息。在我停止exchange服务的时候，服务器的性能马上大幅度提高了。尽管如此，删除10,000条排队的消息还是花了我1个多小时。然后我查看位于d:\exchsrvr\mailroot\vsi 1\badmail的badmail目录，并且用了8个多小时删除所有这些消息。最后，我更改了网络中所有用户的密码，并在防火墙上创建了一条规则，禁止所有来自那个垃圾邮件发送者所处的ip段的通信。在完成这些更改之后，我将防火墙重新连接到internet上并对服务器进行监测。垃圾邮件连接没有再次出现。该网络有几个远程站点使用了vpn隧道。在其中一个远程站点，我发现了有台远程机器包含这些黑客程序：bat.mumu.a.worm、hacktool、w32.valla.2048、w32.hllw.lovgate.j@mm、bat.boohoo.worm和msblast。
     我的客户告诉我这台计算机24小时运行，并且vpn隧道一直保持活动状态。在这样的情况下，迟早都会有人对该机器进行黑客攻击。我始终建议将远程客户端放在防火墙的后面，特别是如果它们使用宽带连接的话。如果您运行的是windows xp并使用拨号连接或无线连接，请确保在连接到internet时，使用xp的windows防火墙（以前叫做internet连接防火墙——icf）来保护您的计算机。修复破坏。我重装了这台工作站，把它放在sonicwall的tele3防火墙后面，让防火墙创建与公司办公室连接的隧道。这个客户算比较幸运了，因为入侵者只用他的服务器发送垃圾邮件，实际上入侵者有可能造成更大的破坏。
     经验教训。由于这次的黑客攻击，该公司不再允许客户端机器在宽带连接下，不使用防火墙就使用移动式的vpn客户端。如果您有远程站点使用vpn隧道和宽带连接，请安装防火墙，或者至少对用户进行培训，让他们在不使用计算机时关掉它。另外还要确保每位用户知道如何在不使用vpn隧道时取消激活它。