笔者之所以写此文,是因为笔者一好友的QQ号码刚刚被盗,他请笔者前去帮他查查是否中病毒。当笔者打开其电脑后,用他本地所安装的卡巴斯基6.0.0.307(已将病毒库更新至更新)进行全机扫描,结果没发现任何病毒。但是,当笔者拨号上网时,在命令提示符状态下输入netstat –an,却发现了问题。找来工具后,发现原来笔者的朋友,已经中了灰鸽子,换句话说,就是成了别人的肉鸡。 ! u/ q3 {; e3 m) A" p- v
* U, Z, M. Q2 y& A
解释下肉鸡:就是被具有最高管理权限的远程电脑。简单的说就是受黑客控制的远程电脑。肉鸡可以是Windowss/Unix/Linux等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要有这本事入侵并控制它。要登录进入肉鸡,必须知道3个参数——远程电脑的IP、用户名、密码。
0 \$ ] z% k c! g- H9 E6 I$ L# t: g6 e
黑客们一般用肉鸡发起拒绝服务攻击、盗取肉鸡上面的重要资料/网络帐号、测试新病毒/木马的危害以及拿肉鸡当跳板等等。 9 l: p5 `2 J( o+ ~( Y
& g; L4 p& A! S7 R$ b( D
部分网友的防护意识还是太差 $ a# S% g$ e" K: U& _8 Y. Z
; c8 t3 j/ l' J0 J# }" `4 S
为什么这么说呢?因为部分网友的思维还是停留在2002年,以为装个杀毒软件,就可以百毒不侵了,其实大错特错。至于原因,下面笔者做个实验,使用两款端口扫描器扫描两个网段。 5 h: p& w0 n; {, s
笔者在短短5分钟之内,竟然抓到了十多台肉鸡,太恐怖了……
) S8 {+ s' |" h; U6 l5 z! F' F& F/ p; |9 B3 d
网络发展到今天,黑客们已经很少用上述图中的那种单纯的端口扫描器了(入门级的黑客还是会用的)。为什么呢?因为黑客们的机器的带宽和硬件系统都是有限的,扫描58.60.0.1----58.60.255.255这个网段,往往需要花费数小时,而且收获很小。只要远程用户开启了Windows XP SP2自带的防火墙,扫描就没有丝毫的效果。
' |# S8 G5 }: t4 H$ E) \/ g0 e: r) P
5 Q! I! |) G2 t. ?$ ]% y 即便是这样,还是有部分用户不设置Administrator的密码或者将密码设置的很短(很容易被暴力破解)、不使用防火墙,仅仅只安装个杀毒软件。这就给入门级的黑客提供了方便,只要知道了远程电脑Administrator的密码和远程电脑开启了必要的端口,那么远程开启Telnet或者种植个灰鸽子简直就是小菜一碟。一旦沦为别人的肉鸡,那么你的网络帐号就没有任何的安全性,安全暴露在黑客面前了。 ) N( B2 x9 U: {" o% _* g1 A
3 ]$ z7 G: G; E' V9 K; Q6 M( k ^# M 在木马蠕虫病毒一体化和木马全端口化的今天,黑客是如何入侵的?
0 a! |/ x6 t( G3 i$ s* N1 q- g, b+ E
首先解释下什么是木马全端口化,也就是木马使用随机端口、多端口等。系统一共有65535个端口,任何一个开放的端口都将成为黑客入侵的通道。例如前段时间比较流行的一个利用4489端口的远程控制木马---- radmin木马,它可以选择0-65535端口中任何一个,而4899端口只是默认的。 7 s2 ?2 u: z5 Y% M3 l! |
( p9 [5 A0 ^6 K5 Y) A- E" l# c! F, X
上文中已经提到了,因为黑客们的机器的带宽和硬件系统都是有限的,所以现在中高级的黑客已经不采用那种单纯的端口扫描器了,那他们是如何进行盗号和抓取肉鸡的。
( i: N" K0 T+ n4 A" ^5 S+ a4 A4 S2 C5 }9 ], V# o6 o0 B
第一种:通过P2P(peer to peer)方式 * c6 x6 R- A- `; q, W
' s$ ~% l4 g, P2 M8 s 1、单一依靠HASH进行P2P下载是不可靠的,因为从王小云教授提出的MD5碰撞理论,可以推出MD5值完全可以进行伪造。那么黑客们可以利用这一点,在程序中捆绑上木马、病毒和后门程序。
' F+ T4 ?) ]/ F+ S1 J9 [- c# Z
$ e2 t. v6 u0 h% l, B 2、P2P蠕虫,由攻击者控制的被感染计算机组成大规模网络,并将成为强大引擎,使P2P蠕虫得以在网络空间到处肆虐。此类蠕虫无需人员干预,投放到网络就行了。 : H6 i/ e: N" H0 ~0 d
+ [& l! A9 S6 X$ T N 第二种:网页挂马方式
}* V1 |6 v. L* d. o4 s' y. @4 H; i( L
主要是利用已知漏洞和未知漏洞,下面先来讲讲什么是漏洞。漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述: 9 F! x- O `# U6 U! X' [% Y
( |- I" I* U: X) ]
a.如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。
$ P" J6 c7 o7 G b.对用户操作造成不便,如不明原因的死机和丢失文件等。 ) Y) E- A! h! S2 e# p: u1 @
8 }8 N, K# m* x8 v7 O; C/ X 现在未知漏洞实在是太多了,各式各样的0day每天公布的至少不少于10组,那仅仅是公开的,掌握黑客内部的用于卖钱的更多。 看了上篇,大家应该明白仅仅安装杀毒软件是不够的,那我们应该如何来保护自己的电脑呢? v' d; M5 } [5 E$ r
; s2 M5 N4 i; [( ~6 S4 g$ a
一、更换管理员帐户并设置超长密码
; j. B0 ~7 f* R) X, {( H, r2 O0 `) L3 C7 o- f) o$ l+ C9 D
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以要重新配置Administrator帐号。
% u6 B8 u6 r' B$ P4 S, n/ t# J
$ U1 U# X. U p 首先是为Administrator帐户设置一个强大复杂的密码,然后重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。 , j0 I, A- C( _$ s0 O) R( j
5 e' _* m: N% c. x |2 [0 N
方法如下:
% W n' v1 ? g$ b' C 1、鼠标右键单击我的电脑,然后选择“管理”
" d& J* j) h& S. A9 Y6 C 2、在左侧“本地用户和组”中,选择“用户”& n! [" r' W3 |- ?( L
3、右键单击“Administrator”,然后选择“重命名”
- `" x& C+ T# b4、定义新的名称,如我定义的“693572 i5 d. g. W: ?. t: A0 I
5、右键单击“69357”,然后选择“设置密码”
1 ]5 k" |9 h0 D6、设置密码,建议16位以上的数字+标点+英文大小写的组合 + n' G* q, O3 |8 h8 u) d4 z
7、在空白处右键单击,然后选择“新用户”! _% a2 X q5 X7 A/ a
8、“用户名”处填写“Administrator”,然后设置一个密码,不要跟上面那个密码一样# @8 d7 ~3 b; z* A3 c/ c
9、来看看新建的“Administrator”隶属于哪个用户组
2 f8 @$ M& f. O l) R+ z10、再看看“69357”属于哪个用户组? , r7 H m# T) u- F9 n( f
二、杜绝Guest帐户的入侵 , L- H% G- \3 q$ \6 `: Q3 ?- e
9 c2 I ?5 P/ H2 {5 R, `
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。 $ u1 P+ o2 \: c" u! O
0 L4 P G' z: S" F) d# ], v 禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。
' ~1 S6 @) K* a- L8 `4 H- x9 h7 K5 n* g2 {4 ~
三、禁止建立空链接
' T' G; |) g8 F9 |5 m0 B
: Q7 W" R- ~9 j P 在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。因此必须禁止建立空连接。 ' v; R! o# G( p! D' }9 ^
; c I$ m6 @ p, K1 E
方法一:是修改注册表 & v2 x3 x, L+ E! F
1、“开始”——“运行”,输入“regedit” / p9 w$ x( l7 O% s- g0 E! I
2、到注册表 HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA下,将DWORD值RestrictAnonymous的键值改为1即可
, x& N2 A% l2 S' z- L$ h
1 k# S* \) P9 R) A4 g( x% j" y' }( }7 A& i
方法二:是修改Windows 2000/XP的本地安全策略
) r6 \; p+ {2 W 1、“开始”——“运行”,输入“secpol.msc”,打开“本地安全设置”
( @/ Y/ i" z) G: N$ F
# M l% _3 S2 |9 c, y. [2 P7 h& T% A# f$ W+ U& }
2、在左侧的“本地策略”——“安全选项”中,找到“对匿名连接的额外限制”,然后修改为“不允许枚举SAM帐号和共享” 7 Y9 N v4 C, f$ {* ?
四、浏览网页和登录QQ时隐藏真实IP地址
/ D: \. |& W5 W3 E! u6 g, X8 E
- e# e6 d/ d9 Z 黑客经常利用一些网络探测技术来查看主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
T' ` |5 [9 N! A( V5 Y$ S$ ?- [% `4 K& F9 e9 t& p
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
) G. C" ]* U+ P$ X, w; K3 M% M6 b% L* K
IE中使用代理服务器的方法:
: s) x l: L5 f6 H5 [' u/ D7 m 1、鼠标右键单击桌面上的“Internet Explorer”,然后选择“属性”
! k# g6 G+ ]" b: S% P 2、选中“连接”,然后选中拨号默认设置,再点击“设置”
# p0 n- l6 C9 f' y8 b6 [3、在代理服务器中,勾选上“使用代理服务器”,并且输入代理服务器地址和端口
8 H3 n8 r0 j7 F: }* T注:提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。 2 k+ _/ _9 l# y# i- u
) m! q& {( ]; N ` QQ中使用代理服务器的方法:
* d% e9 |2 C: a" h 1、选中“菜单”——“设置”——“系统设置” " k1 l. q1 b1 t) c3 K0 p
2、在“代理设置”中,选择类型,并输入服务器的IP地址和端口,建议在设置好后,单击“测试”,测试下该代理服务器是否可以使用 . C* _6 i" b$ j
五、关闭不必要的服务
- D/ i" f4 {# U P2 I7 n
- k! u5 w' b2 s" R, v# b0 ~ 服务开得多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关掉。比如在不需要远程管理计算机时,将有关远程网络登录的服务关掉。去掉不必要的服务停止之后,不仅能保证系统的安全,同时还可以提高系统运行速度。
% |- S- d: o V m, ?+ B( ~1 ?1 d# L0 F+ L
大家可以进入服务管理器中进行关闭。方法:
3 |+ W0 a, R( v. ^" y0 g- E 1、“开始”——“运行”,输入“services.msc” $ j4 N' J1 n# A5 f: _2 u
2、进入“服务管理器”,禁用服务 ; t6 M' _, n' y- R: f6 g
对于新手,笔者给大家推荐款软件----Windows系统服务优化终结者(点击下载) 大家可以根据自己的实际情况和软件作者的建议,来关闭服务。 & f! ~$ g4 r& x9 T' y7 o0 ]9 a( t
*六、安装必要的安全软件(重要)
% O+ E% _5 k* ^6 c6 x i
, k& u: Q6 \9 B! t1 h 还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻,安全也是有保证的。 + D7 [1 t! ]( v# n
- k7 T, |* \! `- L: b! r
笔者指的防火墙是具有特征码过滤功能的防火墙,而不是单纯的端口强制关闭型防火墙。因为具有特征码过滤功能的防火墙能够有效阻断脚本病毒利用、漏洞下载木马、和杀毒软件联动阻止木马进入内存、防止木马将信息回传给黑客、防止泄密和受控。 ) z" Y3 G! V p2 L" ?. N) Q8 W
7 X# s( q. x. B- g* h% F- e
笔者在这里推荐大家使用“瑞星防火墙”(点击下载瑞星防火墙)并配以“寿宁、taylor0577、春林”联合编写的瑞星防火墙自定义规则( 下载地址:http://bbs.hzva.org/viewthread.php?tid=7092&extra=page%3D1 )。 七、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享
5 H1 J' J7 ^; N, ?
- x2 \, W# A! ]9 ? 方法: % |7 G' i" F+ X
1、鼠标右键单击我的电脑,然后选择“管理”
* }7 C2 Y$ E; W+ ~, X5 \% @
) C0 H* f: Y; u
+ C- P6 e3 j4 q1 o! d 2、选择左侧“共享文件夹”——“共享”,鼠标右键单击右侧的IPC$,然后选择“停止共享” 8 p) n! w2 Y2 u# k3 k: i
, z7 k3 |1 ?4 x, H2 ]; t7 k3 k
八、关闭自动播放功能 2 I( S0 d( {! F" i+ C
; d/ c( i; _ ~+ g: R8 V 使用U盘等移动设备交换文件时,一定要先用杀毒软件扫描,并关闭自动播放功能。可利用组策略,关闭所有驱动器的自动播放功能。
% r+ A+ I; f6 e# }5 j2 K m/ x% y9 {+ |6 U' f% ~0 c
方法:
) W( I# M5 t- ^- K+ j 1、点击“开始”——“运行”,输入“gpedit.msc” 2、在左侧“管理模块”——“系统”,找到“停用自动播放”,并双击
0 K6 _% J7 G7 L( G2 }3、在“停用自动播放”处选择“所有驱动器”,然后选择“启动”
4 S: ?# y- s- K5 o1 Q& H$ J ' t# `7 n7 o8 W* ~1 H, e9 P
4、在“开始”——“运行”中输入“gpupdate”,确定后,该策略就生效了
7 I1 P# U0 k8 }+ x " H p$ ?4 D Y3 p) z- s) Z
九、QQ崩溃后不要急于登录
2 i0 k: a3 G& A+ t3 _& M. J; u' x2 M n- _+ P# _
在中了一些QQ木马后,QQ会在短时间内造成崩溃,当你立即登录,木马就会记录下你的输入内容,并发到指定的邮箱/FTP上,造成号码被盗。所以当QQ崩溃后,请大家先使用“QQ医生”或者杀毒软件扫描下本地所有硬盘,确认安全后,再尝试登录。 |
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2009-7-28 19:57:36
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡