他登录伺服器，查看当前所有网络连接。

发现聊天室的进程里面，维护著四五十个来自外部的活跃连接。

其中一个的发包周期，恰好与黑客帐號的发言频率相对应。

他记下那个ip位址，然后打开一个命令行窗口。

“噼哩啪啦……”

罗韜双手十指在键盘上面飞舞，速度之快把林青玉都嚇了一跳。

她很想问一句——“你现在在干什么？”

看到罗韜那般专注，最终把话咽了回去。

罗韜这时写的，是个最简易的tcp埠扫描器。

原理简单得可怕：创建socket，用connect()去尝试连接目標ip的常用埠，能连上的就是开放的。

使用这个小工具，可以快速扫描目標开放的埠。

一分钟左右，代码写完。

编译、运行，输入那个ip位址。

屏幕上面，开始滚过一行行结果——

21埠：开放

23埠：开放

80埠：开放

139埠：开放

445埠：开放

3389埠：开放

……

过了一阵，罗韜双目紧紧盯著屏幕，目光锁定在3389埠。

林青玉也不是全无见识，直接问出心中疑惑：“你想反攻对方？这很难吧？”

“会者不难，难者不会！”罗韜脸上浮现笑意，“已经有眉目了。”

说话间，点击滑鼠退出扫描程序，尝试连接过去——

通过之前植入的后门，他发现这是一台windows主机。

而且，3389埠开放意味著远程桌面服务正在运行。

罗韜没有贸然连接，而是先检查这台机器的歷史操作记录。

在临时目录中，他发现了几处线索：一个名为“exploit.c”的源码文件，一个编译好的可执行文件，还有几个日誌片段。

这说明，攻击者只是用这台机器作为跳板。

好消息是，攻击者没有清除操作痕跡。

罗韜仔细检查了系统日誌，发现攻击者通过另一台中间伺服器登录这台机器，而那个中间伺服器的ip属於教育网。

202.114.64.xxx

罗韜手指指著ip位址，对著林青玉说道：

“这个ip位址，多半是某个大