笔者之所以写此文,是因为笔者一好友的QQ号码刚刚被盗,他请笔者前去帮他查查是否中病毒。当笔者打开其电脑后,用他本地所安装的卡巴斯基6.0.0.307(已将病毒库更新至更新)进行全机扫描,结果没发现任何病毒。但是,当笔者拨号上网时,在命令提示符状态下输入netstat –an,却发现了问题。找来工具后,发现原来笔者的朋友,已经中了灰鸽子,换句话说,就是成了别人的肉鸡。
; Z+ x$ }- w l0 i1 \/ p% p
' ]1 Z$ Q4 k/ a7 \1 S 解释下肉鸡:就是被具有最高管理权限的远程电脑。简单的说就是受黑客控制的远程电脑。肉鸡可以是Windowss/Unix/Linux等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要有这本事入侵并控制它。要登录进入肉鸡,必须知道3个参数——远程电脑的IP、用户名、密码。
0 t& c$ U- P5 \7 d, A/ g# N/ Z2 m) |+ I; G, x
黑客们一般用肉鸡发起拒绝服务攻击、盗取肉鸡上面的重要资料/网络帐号、测试新病毒/木马的危害以及拿肉鸡当跳板等等。
; m% ]! c A/ \+ J
( C2 D' N& e) ?( o2 v+ A 部分网友的防护意识还是太差 $ h2 ]4 u( ~, o/ D, C/ i q
0 X, e5 K0 w3 g# d 为什么这么说呢?因为部分网友的思维还是停留在2002年,以为装个杀毒软件,就可以百毒不侵了,其实大错特错。至于原因,下面笔者做个实验,使用两款端口扫描器扫描两个网段。 ( n7 M2 [- p) A& g( m9 g5 k7 Y
笔者在短短5分钟之内,竟然抓到了十多台肉鸡,太恐怖了……
8 a) v A( u! G- P
! s) m# [+ A3 _+ g, y" M5 _; R 网络发展到今天,黑客们已经很少用上述图中的那种单纯的端口扫描器了(入门级的黑客还是会用的)。为什么呢?因为黑客们的机器的带宽和硬件系统都是有限的,扫描58.60.0.1----58.60.255.255这个网段,往往需要花费数小时,而且收获很小。只要远程用户开启了Windows XP SP2自带的防火墙,扫描就没有丝毫的效果。
+ j& f, ^) U/ K. l
* w1 E4 D: Z2 Z! p0 D 即便是这样,还是有部分用户不设置Administrator的密码或者将密码设置的很短(很容易被暴力破解)、不使用防火墙,仅仅只安装个杀毒软件。这就给入门级的黑客提供了方便,只要知道了远程电脑Administrator的密码和远程电脑开启了必要的端口,那么远程开启Telnet或者种植个灰鸽子简直就是小菜一碟。一旦沦为别人的肉鸡,那么你的网络帐号就没有任何的安全性,安全暴露在黑客面前了。
% e4 w5 k2 Q' E& d: n0 D: E6 d- }) j" i0 S. T
在木马蠕虫病毒一体化和木马全端口化的今天,黑客是如何入侵的? ( T; C) V0 i L. q& Q U
3 M0 b0 H; m6 A. U9 _4 m0 @
首先解释下什么是木马全端口化,也就是木马使用随机端口、多端口等。系统一共有65535个端口,任何一个开放的端口都将成为黑客入侵的通道。例如前段时间比较流行的一个利用4489端口的远程控制木马---- radmin木马,它可以选择0-65535端口中任何一个,而4899端口只是默认的。
- i" u _# n! g9 b6 E! X# [
9 d* e4 P4 J. h 上文中已经提到了,因为黑客们的机器的带宽和硬件系统都是有限的,所以现在中高级的黑客已经不采用那种单纯的端口扫描器了,那他们是如何进行盗号和抓取肉鸡的。 % K, l8 r1 z' G6 }7 I
( ]' W# Z6 E, ^
第一种:通过P2P(peer to peer)方式
+ T' ]* A( l5 b$ }& m
M. p" @" |: {7 Y8 Q/ y 1、单一依靠HASH进行P2P下载是不可靠的,因为从王小云教授提出的MD5碰撞理论,可以推出MD5值完全可以进行伪造。那么黑客们可以利用这一点,在程序中捆绑上木马、病毒和后门程序。
, c5 N. X2 ~' H4 ~1 ~+ j8 K3 v' i7 |+ V' R) w% c' `: K' @! k
2、P2P蠕虫,由攻击者控制的被感染计算机组成大规模网络,并将成为强大引擎,使P2P蠕虫得以在网络空间到处肆虐。此类蠕虫无需人员干预,投放到网络就行了。 7 e; L" |' H& D- h
9 _% r8 W3 t6 _7 F
第二种:网页挂马方式
' n3 m C" e l- f+ [( s* t) P/ w! D8 j9 ~2 i- L6 C( d7 _1 v6 |
主要是利用已知漏洞和未知漏洞,下面先来讲讲什么是漏洞。漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述: 1 @9 b! H6 j9 o
7 _% d3 N) V+ c" {, ]/ W% k# E
a.如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。 % H: p; L1 L& K. O6 I
b.对用户操作造成不便,如不明原因的死机和丢失文件等。
/ O: }' Y5 q! f0 a, T; a, U/ w9 @# W# C3 f- N8 u4 D1 _4 `
现在未知漏洞实在是太多了,各式各样的0day每天公布的至少不少于10组,那仅仅是公开的,掌握黑客内部的用于卖钱的更多。 看了上篇,大家应该明白仅仅安装杀毒软件是不够的,那我们应该如何来保护自己的电脑呢? $ U/ K+ R9 q5 g4 R4 f
6 Z3 q+ e5 S1 D) s1 z
一、更换管理员帐户并设置超长密码
0 I+ k2 Q) X2 F# P1 N1 Y) J" C2 Y- o+ f; d; r
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以要重新配置Administrator帐号。 ; s# V3 t! V) O0 f
/ g; y- q" S+ h2 [& R 首先是为Administrator帐户设置一个强大复杂的密码,然后重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。
a" s, x/ N4 e" {* a7 b* O0 x% ^! B2 V' F) F2 z
方法如下: 6 l: ^/ o. @9 R1 w7 Q* {9 z% s
1、鼠标右键单击我的电脑,然后选择“管理”
0 n+ f, ?3 A' b4 z: l* `! R- ]+ M; U& e 2、在左侧“本地用户和组”中,选择“用户”# K$ J% g' f/ B/ f0 [
3、右键单击“Administrator”,然后选择“重命名” % Q- D' i: ~5 m( F+ D+ j. ]
4、定义新的名称,如我定义的“69357
1 q! F5 {8 i' I3 _; i5、右键单击“69357”,然后选择“设置密码” - H1 L0 K" a# Y0 Y" p% Q, A
6、设置密码,建议16位以上的数字+标点+英文大小写的组合
2 x/ B, t: |( ?1 l" q# N7、在空白处右键单击,然后选择“新用户”
: U' a$ K4 M. O) |8 P 8、“用户名”处填写“Administrator”,然后设置一个密码,不要跟上面那个密码一样
# G4 d8 j+ A/ p: J+ U 9、来看看新建的“Administrator”隶属于哪个用户组
. L5 T1 w6 O/ y! P- d$ y+ t10、再看看“69357”属于哪个用户组? $ {% c' [1 w3 K* \7 N
二、杜绝Guest帐户的入侵 , z0 c7 H4 j3 x3 O# @; y
% R& b1 L6 O# h" c4 V7 W' r
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。 . g# B( H( Y3 o2 l ]' }. ?
% ]# I! P3 @6 s7 M' ? 禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。 ; k7 @- J* B& Q' n5 g
6 F+ J4 e0 t" ]0 n+ ] 三、禁止建立空链接 ' _1 B+ h4 U' A$ Y; q
1 M9 p# l) n& {. Z 在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。因此必须禁止建立空连接。
! A; U' [: P# U0 L8 x8 C3 R: ^3 M% R* \. \
方法一:是修改注册表
6 U. V- b" p. p' h1 ]0 N" f8 D. g 1、“开始”——“运行”,输入“regedit” 8 ~+ [7 t0 R5 z
2、到注册表 HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA下,将DWORD值RestrictAnonymous的键值改为1即可 : m! k& }0 p0 |4 l& Y
6 O: k ]7 i2 X# O& S# @2 x3 ?& } \4 h, O) \* m) r
方法二:是修改Windows 2000/XP的本地安全策略
; c5 \5 }9 d# k% ?1 E 1、“开始”——“运行”,输入“secpol.msc”,打开“本地安全设置”
1 T j: G/ P+ j b9 y. B# p7 d5 e! Q
5 c$ g! z. w! }) c$ f+ e
2、在左侧的“本地策略”——“安全选项”中,找到“对匿名连接的额外限制”,然后修改为“不允许枚举SAM帐号和共享”
6 M% j* e4 o; C5 y) _7 g. H4 _. u% E 四、浏览网页和登录QQ时隐藏真实IP地址
. l0 h0 K1 k& T+ G1 Q6 [1 r) z
# k3 c+ T6 X: i" I 黑客经常利用一些网络探测技术来查看主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。 ! o0 B/ M( U. X4 z4 U9 V( s
" L6 ?4 w) ?# u1 v/ u 与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
, O2 M$ l: O' ^; K7 m
. _8 \% h8 n% N: M6 m& o IE中使用代理服务器的方法: - K* G: s& ~+ O7 P g4 o. q. F* G" B, T
1、鼠标右键单击桌面上的“Internet Explorer”,然后选择“属性”
" S* Y) q! L6 b8 S 2、选中“连接”,然后选中拨号默认设置,再点击“设置” / P0 ]6 \- Q7 ^% u
3、在代理服务器中,勾选上“使用代理服务器”,并且输入代理服务器地址和端口 8 x$ `4 R2 \) v1 H& d
注:提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。 # K* M" x% i( P& Q
3 W9 f5 W; ]# { QQ中使用代理服务器的方法:
; }- H( f: e# Y8 e2 @ 1、选中“菜单”——“设置”——“系统设置”
3 u* D5 A5 ?! h* W2、在“代理设置”中,选择类型,并输入服务器的IP地址和端口,建议在设置好后,单击“测试”,测试下该代理服务器是否可以使用
6 [+ t% h( y: S9 Q2 h( j( I五、关闭不必要的服务 . N; {) {5 p& P
% f* c( ~% R3 u2 @ ? o# U9 Y6 L
服务开得多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关掉。比如在不需要远程管理计算机时,将有关远程网络登录的服务关掉。去掉不必要的服务停止之后,不仅能保证系统的安全,同时还可以提高系统运行速度。
" B; w' O( k* n9 C
( K) I& X# S( h0 s5 ]. k; h 大家可以进入服务管理器中进行关闭。方法:
5 w* _0 w; t0 G6 H6 |8 B 1、“开始”——“运行”,输入“services.msc” 4 T8 v: `. M& q* R2 @! @
2、进入“服务管理器”,禁用服务
$ b8 g. @* U: m9 U对于新手,笔者给大家推荐款软件----Windows系统服务优化终结者(点击下载) 大家可以根据自己的实际情况和软件作者的建议,来关闭服务。 + ~+ d- y& X( ], b9 g9 s- d: z2 m1 r
*六、安装必要的安全软件(重要) # f o [9 W* {
" r# i; C% V8 [ 还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻,安全也是有保证的。 0 W3 @" r& i. m8 E$ f1 d* r
! p/ x9 G2 _4 G 笔者指的防火墙是具有特征码过滤功能的防火墙,而不是单纯的端口强制关闭型防火墙。因为具有特征码过滤功能的防火墙能够有效阻断脚本病毒利用、漏洞下载木马、和杀毒软件联动阻止木马进入内存、防止木马将信息回传给黑客、防止泄密和受控。 . ^5 k) q# W" G/ \0 P
; M) ]! Y7 e, j# L/ `" ]
笔者在这里推荐大家使用“瑞星防火墙”(点击下载瑞星防火墙)并配以“寿宁、taylor0577、春林”联合编写的瑞星防火墙自定义规则( 下载地址:http://bbs.hzva.org/viewthread.php?tid=7092&extra=page%3D1 )。 七、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享
' j7 Z; }. y# d: u1 L
9 K# i: N" Y" P! c) U5 V" V 方法: - Y) r$ d9 ^; a/ X) w6 C7 [
1、鼠标右键单击我的电脑,然后选择“管理”
8 Z/ b$ V0 O7 L# [# [- T" R! K: b
2 B" j3 x( l z4 U( G9 |9 H
, F1 e r8 h, A 2、选择左侧“共享文件夹”——“共享”,鼠标右键单击右侧的IPC$,然后选择“停止共享” ! V; m& [8 C; }" m% m) t, `2 H
' y: M' X( Y( A
八、关闭自动播放功能
; N1 B8 B3 T: l1 ?% I; r7 H/ o
0 {1 X" x2 q+ O' b2 G9 f1 g6 y 使用U盘等移动设备交换文件时,一定要先用杀毒软件扫描,并关闭自动播放功能。可利用组策略,关闭所有驱动器的自动播放功能。
6 ^5 f" |, X# f& y$ Y. a* B) B( ~3 j9 B: a) K
方法:
: A ]/ F) U) \ 1、点击“开始”——“运行”,输入“gpedit.msc” 2、在左侧“管理模块”——“系统”,找到“停用自动播放”,并双击 ) S7 x' B8 ]! k' w4 b
3、在“停用自动播放”处选择“所有驱动器”,然后选择“启动” 5 g7 ]) y0 M2 m8 q8 ?4 ?
" ^+ i* q% H0 l 4、在“开始”——“运行”中输入“gpupdate”,确定后,该策略就生效了
% O% Y* T! C- @
, `# R3 l0 G3 J( V3 u/ Y 九、QQ崩溃后不要急于登录
8 L& D6 l# f; }- @3 X( a! p2 g% h. P2 j5 n4 Y8 N
在中了一些QQ木马后,QQ会在短时间内造成崩溃,当你立即登录,木马就会记录下你的输入内容,并发到指定的邮箱/FTP上,造成号码被盗。所以当QQ崩溃后,请大家先使用“QQ医生”或者杀毒软件扫描下本地所有硬盘,确认安全后,再尝试登录。 | 
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2009-7-28 19:57:36
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡