笔者之所以写此文,是因为笔者一好友的QQ号码刚刚被盗,他请笔者前去帮他查查是否中病毒。当笔者打开其电脑后,用他本地所安装的卡巴斯基6.0.0.307(已将病毒库更新至更新)进行全机扫描,结果没发现任何病毒。但是,当笔者拨号上网时,在命令提示符状态下输入netstat –an,却发现了问题。找来工具后,发现原来笔者的朋友,已经中了灰鸽子,换句话说,就是成了别人的肉鸡。
9 I# j n- N, O5 f' J
" F' M% Q( C. @0 N2 i 解释下肉鸡:就是被具有最高管理权限的远程电脑。简单的说就是受黑客控制的远程电脑。肉鸡可以是Windowss/Unix/Linux等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要有这本事入侵并控制它。要登录进入肉鸡,必须知道3个参数——远程电脑的IP、用户名、密码。
$ W! x8 D4 ?' A! h; e3 V1 C
/ V! q7 ?: }- H/ N1 { 黑客们一般用肉鸡发起拒绝服务攻击、盗取肉鸡上面的重要资料/网络帐号、测试新病毒/木马的危害以及拿肉鸡当跳板等等。
+ @( D0 t( u. q5 }( C0 J, e+ w$ A+ |. H/ w! \! ^
部分网友的防护意识还是太差 ' G2 `- ]( t4 N7 n) m
! m2 f( k* a- {& |3 G4 p 为什么这么说呢?因为部分网友的思维还是停留在2002年,以为装个杀毒软件,就可以百毒不侵了,其实大错特错。至于原因,下面笔者做个实验,使用两款端口扫描器扫描两个网段。
& L5 J! f; k6 a' H9 B笔者在短短5分钟之内,竟然抓到了十多台肉鸡,太恐怖了…… 5 {+ q! J; {8 J! j7 |0 b: A
7 D' r# d6 E5 Y) x$ W3 x
网络发展到今天,黑客们已经很少用上述图中的那种单纯的端口扫描器了(入门级的黑客还是会用的)。为什么呢?因为黑客们的机器的带宽和硬件系统都是有限的,扫描58.60.0.1----58.60.255.255这个网段,往往需要花费数小时,而且收获很小。只要远程用户开启了Windows XP SP2自带的防火墙,扫描就没有丝毫的效果。
5 N# |# n+ p' U- k3 Y
1 d. F, X2 T, o3 K' P! e! C 即便是这样,还是有部分用户不设置Administrator的密码或者将密码设置的很短(很容易被暴力破解)、不使用防火墙,仅仅只安装个杀毒软件。这就给入门级的黑客提供了方便,只要知道了远程电脑Administrator的密码和远程电脑开启了必要的端口,那么远程开启Telnet或者种植个灰鸽子简直就是小菜一碟。一旦沦为别人的肉鸡,那么你的网络帐号就没有任何的安全性,安全暴露在黑客面前了。 5 V+ F' T! O+ q! j, \4 D6 S% q) ^
- u. @* `7 X, s# p' P! l 在木马蠕虫病毒一体化和木马全端口化的今天,黑客是如何入侵的? , ^. d7 @) g4 A% @6 e
) k$ q1 w0 h3 K
首先解释下什么是木马全端口化,也就是木马使用随机端口、多端口等。系统一共有65535个端口,任何一个开放的端口都将成为黑客入侵的通道。例如前段时间比较流行的一个利用4489端口的远程控制木马---- radmin木马,它可以选择0-65535端口中任何一个,而4899端口只是默认的。
( _3 J$ O/ I/ U5 B b; ~2 ?, K2 l; e- @% v+ I4 [5 h
上文中已经提到了,因为黑客们的机器的带宽和硬件系统都是有限的,所以现在中高级的黑客已经不采用那种单纯的端口扫描器了,那他们是如何进行盗号和抓取肉鸡的。
, p [: u. h F0 m4 M- |& }) k+ [( I( [+ ]% `! g- b8 M: I8 ~0 a
第一种:通过P2P(peer to peer)方式
, w% F h0 i$ d' ?5 U. v' Y2 _8 X* ~4 z
1、单一依靠HASH进行P2P下载是不可靠的,因为从王小云教授提出的MD5碰撞理论,可以推出MD5值完全可以进行伪造。那么黑客们可以利用这一点,在程序中捆绑上木马、病毒和后门程序。 , }. f/ O5 Z5 p, a
/ t+ P" M, L' g* L$ o. x2 {
2、P2P蠕虫,由攻击者控制的被感染计算机组成大规模网络,并将成为强大引擎,使P2P蠕虫得以在网络空间到处肆虐。此类蠕虫无需人员干预,投放到网络就行了。 0 H/ d! {' g- c4 D T
, } g- X- K6 B0 ^; p 第二种:网页挂马方式 & c, e# p6 f) P: u1 R" M) u7 Y- G
- s0 @2 O% @* T4 C* h$ f( E: S
主要是利用已知漏洞和未知漏洞,下面先来讲讲什么是漏洞。漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述: - W- e$ Y8 R& q8 ^% v* A
/ Y# t7 T! d* g, V/ R$ P
a.如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。 m- L. d# ~( y; j6 e5 _! Z# e& \5 g
b.对用户操作造成不便,如不明原因的死机和丢失文件等。 + N1 A& Z3 v: ^6 A( R; k) R2 Q1 s2 G2 [
# U' V6 k8 I |+ o, @/ b 现在未知漏洞实在是太多了,各式各样的0day每天公布的至少不少于10组,那仅仅是公开的,掌握黑客内部的用于卖钱的更多。 看了上篇,大家应该明白仅仅安装杀毒软件是不够的,那我们应该如何来保护自己的电脑呢?
- y) @4 D! R5 y% r8 p+ c0 }- o" A' e5 e/ q( z& T
一、更换管理员帐户并设置超长密码
}0 A* _6 R5 I8 S
) K [! Y& ^/ Y' k" t @7 J, w: Q* r Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以要重新配置Administrator帐号。 & u# ] G6 ?# _9 \/ ^
$ X6 G' {" K. d! S1 W6 H 首先是为Administrator帐户设置一个强大复杂的密码,然后重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。 : }, D% |$ u: \$ Z: ?
: F* o- f8 V- ^0 A% w' D! H 方法如下: * r2 C O7 ]9 {1 q! f7 z, g
1、鼠标右键单击我的电脑,然后选择“管理”
x! S# s' W# v$ P* K 2、在左侧“本地用户和组”中,选择“用户”( X2 H( \( I# w, K& D+ Q: c
3、右键单击“Administrator”,然后选择“重命名” : S6 x6 H0 f- V9 M! g$ @) m
4、定义新的名称,如我定义的“69357
; I& M. c2 Z% F6 B1 o+ o1 V7 i5、右键单击“69357”,然后选择“设置密码” 6 {: I; n3 @. A) T& b4 h
6、设置密码,建议16位以上的数字+标点+英文大小写的组合 ) m2 l s& x% w3 s( y; r6 M
7、在空白处右键单击,然后选择“新用户”6 ?4 v& u" j5 j7 n1 e5 L
8、“用户名”处填写“Administrator”,然后设置一个密码,不要跟上面那个密码一样7 l1 S1 ~- j% f1 W
9、来看看新建的“Administrator”隶属于哪个用户组 3 w N' l7 E; Q
10、再看看“69357”属于哪个用户组? . J, `0 ~, Q3 W* r2 `" f
二、杜绝Guest帐户的入侵 ; _) v8 y, Z" V) r) G
+ o" }4 S; _) P7 f; v+ G Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。 2 _6 _ r. [1 d2 Q2 e( A
8 `: r! ~5 f0 q+ Y# ` 禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。 & d9 d: U$ S2 S9 y; q& z; B
) W* g% O2 x+ r
三、禁止建立空链接
6 ]9 z D! \- s" }, ]2 Q
9 F& o; Q/ ], S% p* L+ \6 f 在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。因此必须禁止建立空连接。 / b( n. Z+ e0 l6 _* H
$ w F) Y, H& H5 a' m 方法一:是修改注册表
9 H! K; g- Z4 \# J+ I; t" _ 1、“开始”——“运行”,输入“regedit”
- r; W# Z- i9 e2、到注册表 HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA下,将DWORD值RestrictAnonymous的键值改为1即可
' r& E7 c$ M2 F# M1 n9 ]
) B ^$ \6 P# ^- f; ~# t
! T. P& Y0 R5 L+ i" ]% h 方法二:是修改Windows 2000/XP的本地安全策略
4 C/ k/ f' \+ [+ ^, a3 ~. G: W 1、“开始”——“运行”,输入“secpol.msc”,打开“本地安全设置” " v# N$ V! d% ?8 q. R) a6 ^' e
# A, C3 ?% K1 J
( T M1 l+ A2 |1 x( W+ d 2、在左侧的“本地策略”——“安全选项”中,找到“对匿名连接的额外限制”,然后修改为“不允许枚举SAM帐号和共享” , }9 R9 g3 w/ b5 d7 r+ g5 [
四、浏览网页和登录QQ时隐藏真实IP地址
3 K. r1 D5 y; \( [% |' O" v
) `1 l: A) f- t3 _1 E 黑客经常利用一些网络探测技术来查看主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。 6 \. ]3 n; L; K/ v, H
R: p7 e* y) F7 S. D) g
与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
; k; e N& [1 f; U: O8 w3 B! f$ I6 f0 j5 C0 t6 s8 [1 W
IE中使用代理服务器的方法:
+ x. O# L6 k& z8 F8 ^3 j 1、鼠标右键单击桌面上的“Internet Explorer”,然后选择“属性” 4 k6 C1 F( c: t. n$ s4 D- [; p
2、选中“连接”,然后选中拨号默认设置,再点击“设置” $ m- @# V b" m8 E- O& k- ^
3、在代理服务器中,勾选上“使用代理服务器”,并且输入代理服务器地址和端口 & H+ C0 h; G- D8 g" n G
注:提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。 6 O+ H/ t- A2 f5 l% w0 H
$ r. h0 T( S( u% e" d# K8 l
QQ中使用代理服务器的方法: 6 g! V' @; U! a
1、选中“菜单”——“设置”——“系统设置” $ L, l& b0 j& H5 q
2、在“代理设置”中,选择类型,并输入服务器的IP地址和端口,建议在设置好后,单击“测试”,测试下该代理服务器是否可以使用 0 w& w+ g0 }' w4 B5 ?
五、关闭不必要的服务
0 { {: A- v* L# s! ~/ s5 f2 I
: F3 K2 W; A) M- x 服务开得多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关掉。比如在不需要远程管理计算机时,将有关远程网络登录的服务关掉。去掉不必要的服务停止之后,不仅能保证系统的安全,同时还可以提高系统运行速度。 % P3 Q) b$ b" H, e6 F# s5 I2 I9 n/ f
; \- P) Z0 i( c6 M6 U* S B 大家可以进入服务管理器中进行关闭。方法: " [; L6 f' h H1 h& v4 {5 z0 n
1、“开始”——“运行”,输入“services.msc” " d+ j2 |6 t0 Y. I$ j F
2、进入“服务管理器”,禁用服务
$ U, S/ c! S* A0 I2 \/ S对于新手,笔者给大家推荐款软件----Windows系统服务优化终结者(点击下载) 大家可以根据自己的实际情况和软件作者的建议,来关闭服务。 1 }7 |2 @3 ?) G3 \' j% A8 N& K; E
*六、安装必要的安全软件(重要)
' h2 g( \+ g( h) v: C1 {! R: F! d9 j J2 Y9 e# z( U. E) l' b" \
还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻,安全也是有保证的。
* K: y! L. q5 z4 I- i' _7 e& h2 ]" j2 j. i8 @
笔者指的防火墙是具有特征码过滤功能的防火墙,而不是单纯的端口强制关闭型防火墙。因为具有特征码过滤功能的防火墙能够有效阻断脚本病毒利用、漏洞下载木马、和杀毒软件联动阻止木马进入内存、防止木马将信息回传给黑客、防止泄密和受控。 ! v/ D8 b7 G+ E& j D
- a- J; j. C$ u) y5 j1 G7 Z" ]0 Z w 笔者在这里推荐大家使用“瑞星防火墙”(点击下载瑞星防火墙)并配以“寿宁、taylor0577、春林”联合编写的瑞星防火墙自定义规则( 下载地址:http://bbs.hzva.org/viewthread.php?tid=7092&extra=page%3D1 )。 七、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享
6 H8 P4 |6 X6 C+ a: r! b& c D, K" }6 V, y/ j
方法: + K, p- t9 c( d& T5 l
1、鼠标右键单击我的电脑,然后选择“管理” " @0 x3 M! D- o8 s, Y5 v4 u- a
3 X3 z: B7 n1 P- }( M$ _* S- v4 ~7 Y5 C
2、选择左侧“共享文件夹”——“共享”,鼠标右键单击右侧的IPC$,然后选择“停止共享”
' ^/ u3 M9 N( G- E6 M# L! ]( ~0 }% B$ g, n6 _' ^
八、关闭自动播放功能
( t8 k; ~/ H$ i3 }# N2 o) W5 _: @7 I9 h9 b; I. D# q9 Q
使用U盘等移动设备交换文件时,一定要先用杀毒软件扫描,并关闭自动播放功能。可利用组策略,关闭所有驱动器的自动播放功能。
9 t3 l3 i6 C, T. H8 K$ V s I' R$ o: M6 c
方法: 5 e2 D* s" o$ P/ P- _0 q! T# z) g
1、点击“开始”——“运行”,输入“gpedit.msc” 2、在左侧“管理模块”——“系统”,找到“停用自动播放”,并双击
4 t* W7 x0 ?$ h# J( d. \3、在“停用自动播放”处选择“所有驱动器”,然后选择“启动”
+ ~: s0 D9 I5 F( h* N! o; R! Q5 `
" r. ~/ y* q* r# {7 c7 i 4、在“开始”——“运行”中输入“gpupdate”,确定后,该策略就生效了
o; L, w* t; C( f' U" s 2 q1 n- N. z/ a/ l
九、QQ崩溃后不要急于登录 , `1 y2 t0 z: _; U3 Q1 O7 U1 u
4 M9 [: p* W+ C$ g6 { 在中了一些QQ木马后,QQ会在短时间内造成崩溃,当你立即登录,木马就会记录下你的输入内容,并发到指定的邮箱/FTP上,造成号码被盗。所以当QQ崩溃后,请大家先使用“QQ医生”或者杀毒软件扫描下本地所有硬盘,确认安全后,再尝试登录。 |
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2009-7-28 19:57:36
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡