ADSL宽带以低廉的价格、高速接入、高带宽和稳定性迅速羸得了用户的芳心，成为众多用户的首选接入方式。不过，一只只黑手也悄悄伸向ADSL密码……

探访失窃现场

　　由于许多ADSL用户安全意识薄弱，没有修改ADSL默认的管理员账号及密码，因而给了非法攻击者可乘之机。在黑客软件帮助下，比如WebDAVScan（用于扫描与自己同处于一个网段内的ADSL用户）和PasswordViewer（用于破解ADSL密码），经过扫描、尝试、进入、破解等简单的几步，非法攻击者就可以得到获取ADSL用户账号和密码。

第一步：扫描ADSL用户
　　（1）配置扫描器。启动WebDAVScan，在主界面中进行一下必要的设置，在“StartIP”和“EnfIP”栏中输入欲扫描的IP地址范围。注意,该IP范围必须是自己所在地区的ADSL的IP段，否则扫描不到任何ADSL用户。在“Port”栏中选择扫描80端口。
　　（2）开始扫描。配置完毕，点击“Scan”按钮即可开始扫描，要不了多久，即可扫描完成。
　　（3）尝试进入站点。完成后，在结果栏中任选一个IP地址，如图1所示，在其上点左键，这时会弹出一个菜单，点选“Open This Site”，即打开这个站点之意。
　　小提示：并不是每一个站点都可以打开，可逐个尝试。

图1 尝试进入站点

第二步：进入管理页面，并取得原始密码
　　（1）点击“Open This Site”后，会自动弹出IE浏览器窗口，并试图打开该IP地址的远程ADSL猫Web页管理页面。如果该IP地址的ADSL猫具有Web管理功能的话，就会弹出一个“输入网络密码”对话框。这与我们常见的Windows登录密码验证框几乎完全一样，您只需正确输入“用户名”和密码即可进入到ADSL猫的Web页管理页面。关键是我们怎样才能知道ADSL猫的管理员账号和密码呢？还记得上面我们所说的，许多ADSL用户的安全意识较差，使用的仍然是默认的管理员账号和密码，这就给黑客留下了可乘之机。
　　（2）用ADSL猫默认的管理员账号和密码进行猜测和尝试，要不了多久就可以找到所需的用户名和密码，回车后即可就进入到了远端ADSL猫的Web页管理页面。
　　（3）在ADSL猫的Web页管理页面中，点击左侧窗格中的“口令配置”选项。注意，ADSL猫品牌不同，该选项的名字也不同，如有称作“PPP设置”的，也有称为“快速设置”的，一一试过就可以找到。好了，现在在“PPP”下面就可以清楚地看到ADSL账号的用户名和密码了，如图2所示。不过这里是以“●●●●●●●●”或“＊＊＊＊＊＊＊＊”显示的，通过普通方式我们仍然无法知道密码的具体内容是什么。

图2 ADSL猫WEB 管理界面

第三步：破解密码
　　这就要用到PasswordViewer了，它是一个专门用来破解星号密码的破解器，功能十分强大。
　　（1）启动PasswordViewer，点击主界面菜单栏的“工具→搜索密码”选项，弹出“搜索密码”对话框，如图3所示。

图3 搜索密码

　　（2）点击对话框中的“查找”按钮，弹出“选择密码窗口”，如图4所示。拖动“窗口查找工具”下方的准星标记到带有星号密码的网页中，同时用心记下星号的个数，点“关闭”按钮回到“搜索密码”对话框中。

图４　选择密码窗口

　　（3）在“标记”栏中选择“$PWV_TAG”，在“密码长度”栏中正确设置密码的个数（这里是8位数），并勾选上“使用Unicode”选项，点击“搜索”按钮。PasswordViewer即开始进行解密处理，如图5所示。要不了多久，密码即可大白于天下。

图5 破解密码

第四步：进入互联星空进行非正当消费
　　拿到了密码，非法攻击者就可以拿着窃取的用户名和密码来到互联星空进行消费了。

如何保护ADSL密码

　　不要小看了ADSL密码的失窃，它会给您带来严重的经济损失。
　　由于在大多数地方，互联星空的账号和ADSL账号是完全一致的，也就是说，从您办理ADSL业务的第一天起，ADSL账号已经和互联星空的账号捆绑到一起了。因此，非法攻击者可以利用窃取的ADSL账号和密码直接在互联星空网站上消费，比如购买传奇等游戏的游戏充值卡，还可以给QQ个人账户充值，甚至进行网上购物。
　　因此，ADSL用户应该对此给予足够的重视，最为关键的是如何防范这一只只伸向ADSL密码的黑手。

亡羊补牢
　　如果您的ADSL密码已经失窃，或电话费与前几个月相比高出不少，那么，您的ADSL密码十有八九是失窃了。为避免更大的损失，抓紧时间取消绑定，亡羊补牢是当务之急。通常可用下面任一种方法来解除绑定：
方法一：客户服务热线法
　　这是最为便捷的方法，您只需拨打中国电信的免费客户服务热线电话“10000”，然后按照语言提示操作即可。
方法二：登录网站法
　　在IE地址栏中键入：“http://www.chinavnet.com”，登录到互联星空网站，点击“我的星空”，然后在“用户信息”中点选“我要销户”，注销自己的账户即可。
方法三：直接到电信大厅办理
　　持自己的有效身份证件到当地的电信营业大厅，向客户服务人员讲明情况，请客户服务人员帮您取消绑定即可。

未雨绸缪
　　总是在亡羊之后才想起补牢，未免晚矣！未雨绸缪，防患于未然才是正道。
　　建议ADSL运营商取消ADSL账号与互联星空账号的绑定，并将ADSL账号与固定电话号码绑定，只有使用此固定电话上网才允许用户消费，从而切断其他非法用户的不法企图。
　　普通用户也应当安装强有力的防火墙，防止非法用户不良扫描。而且，应该及时修改ADSL猫管理员默认用户名和密码，设上较为复杂的密码，最好是字母、数字、特殊符号的组合，以增加破解的难度。

编辑提示

　　本文的目的只是从技术的角度探讨ADSL密码的安全问题，给安全意识薄弱的用户提个醒，请勿按文中所示方法尝试窃取他人ADSL密码。
　　另外，当非法攻击者使用窃取来的ADSL账号和密码在互联星空消费时，消费过程会被详细记录到服务器上，包括IP，所以还是有办法顺藤摸瓜找到他们的。因此,奉劝那些想窃取他人ADSL账号密码的朋友们,莫伸手,伸手必被捉……

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=752&categ_code=10041003