笔者之所以写此文,是因为笔者一好友的QQ号码刚刚被盗,他请笔者前去帮他查查是否中病毒。当笔者打开其电脑后,用他本地所安装的卡巴斯基6.0.0.307(已将病毒库更新至更新)进行全机扫描,结果没发现任何病毒。但是,当笔者拨号上网时,在命令提示符状态下输入netstat –an,却发现了问题。找来工具后,发现原来笔者的朋友,已经中了灰鸽子,换句话说,就是成了别人的肉鸡。
( F4 V3 O8 }$ ^0 r
s d; U+ E/ S0 B3 j _1 T 解释下肉鸡:就是被具有最高管理权限的远程电脑。简单的说就是受黑客控制的远程电脑。肉鸡可以是Windowss/Unix/Linux等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要有这本事入侵并控制它。要登录进入肉鸡,必须知道3个参数——远程电脑的IP、用户名、密码。
7 o9 Y$ S' W$ ?0 ^8 b- U1 L$ V' w, K. k$ x( k+ m- o6 q) q
黑客们一般用肉鸡发起拒绝服务攻击、盗取肉鸡上面的重要资料/网络帐号、测试新病毒/木马的危害以及拿肉鸡当跳板等等。
+ C# ~& c2 R0 U0 S
# \8 i" q0 \3 Z8 `6 p1 k3 [$ B 部分网友的防护意识还是太差
9 u) k1 r) f0 R9 ^2 q: o. [3 s) o4 z/ J" { ]% ~
为什么这么说呢?因为部分网友的思维还是停留在2002年,以为装个杀毒软件,就可以百毒不侵了,其实大错特错。至于原因,下面笔者做个实验,使用两款端口扫描器扫描两个网段。
9 T9 |4 t. j2 D T* p笔者在短短5分钟之内,竟然抓到了十多台肉鸡,太恐怖了……
* Q6 \! n3 l; S7 T( H+ O7 N5 S0 f# G2 ]
网络发展到今天,黑客们已经很少用上述图中的那种单纯的端口扫描器了(入门级的黑客还是会用的)。为什么呢?因为黑客们的机器的带宽和硬件系统都是有限的,扫描58.60.0.1----58.60.255.255这个网段,往往需要花费数小时,而且收获很小。只要远程用户开启了Windows XP SP2自带的防火墙,扫描就没有丝毫的效果。
- X9 u: U! ?( I3 x
- @- y9 W5 c4 f, }2 K3 B" V1 T 即便是这样,还是有部分用户不设置Administrator的密码或者将密码设置的很短(很容易被暴力破解)、不使用防火墙,仅仅只安装个杀毒软件。这就给入门级的黑客提供了方便,只要知道了远程电脑Administrator的密码和远程电脑开启了必要的端口,那么远程开启Telnet或者种植个灰鸽子简直就是小菜一碟。一旦沦为别人的肉鸡,那么你的网络帐号就没有任何的安全性,安全暴露在黑客面前了。 3 _1 D, `$ C& k, Q& E* b" x# u
: Z1 w9 t! s6 C' K 在木马蠕虫病毒一体化和木马全端口化的今天,黑客是如何入侵的?
8 ? b, ?6 Y$ L9 q# P' T2 j* {
( w; ^4 u6 l) q 首先解释下什么是木马全端口化,也就是木马使用随机端口、多端口等。系统一共有65535个端口,任何一个开放的端口都将成为黑客入侵的通道。例如前段时间比较流行的一个利用4489端口的远程控制木马---- radmin木马,它可以选择0-65535端口中任何一个,而4899端口只是默认的。 ( F6 x5 n) ~' G, i' w5 ^: C
" ^! y' H) n( C 上文中已经提到了,因为黑客们的机器的带宽和硬件系统都是有限的,所以现在中高级的黑客已经不采用那种单纯的端口扫描器了,那他们是如何进行盗号和抓取肉鸡的。 ' ^1 O6 k) B: U5 k
; J3 N( w4 ~$ n& O% t. e2 z$ ] 第一种:通过P2P(peer to peer)方式
" `% |0 j' O$ B5 ]% U$ X" ^+ d
5 B/ Z7 M/ U& V& @! G 1、单一依靠HASH进行P2P下载是不可靠的,因为从王小云教授提出的MD5碰撞理论,可以推出MD5值完全可以进行伪造。那么黑客们可以利用这一点,在程序中捆绑上木马、病毒和后门程序。 ( _ Z' N: o4 Y% p
4 W8 \; n. }8 J( {& b9 }
2、P2P蠕虫,由攻击者控制的被感染计算机组成大规模网络,并将成为强大引擎,使P2P蠕虫得以在网络空间到处肆虐。此类蠕虫无需人员干预,投放到网络就行了。
! {" b. f: l& _0 V* @1 Z8 Z- `$ K* y" t4 G
第二种:网页挂马方式 - t! }0 o0 o, F. ?( A. W8 L! O- S
( N/ M9 a) @# {, f8 y, Q# I 主要是利用已知漏洞和未知漏洞,下面先来讲讲什么是漏洞。漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述:
6 H( M0 ?& M- p4 l0 @; N& D7 ~& M
' g; _# t+ V; q- i6 o9 j9 s a.如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。
- [/ m2 c! X; t: l" B b.对用户操作造成不便,如不明原因的死机和丢失文件等。
/ u- Q8 S3 h- N/ h9 f) H1 i! |9 R/ s+ b. ?9 W( S
现在未知漏洞实在是太多了,各式各样的0day每天公布的至少不少于10组,那仅仅是公开的,掌握黑客内部的用于卖钱的更多。 看了上篇,大家应该明白仅仅安装杀毒软件是不够的,那我们应该如何来保护自己的电脑呢? * R0 u! C" z$ d: _6 ?
/ }# F6 y& U* o
一、更换管理员帐户并设置超长密码 # a+ |$ f& N+ X' M( n1 ?# y t
]! R5 F% O0 V6 i
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以要重新配置Administrator帐号。
- f: S) E) B! Z, ^
) i k2 e* W: X5 j. ?# Z# Y" T$ E 首先是为Administrator帐户设置一个强大复杂的密码,然后重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。 * e2 E2 h5 Z4 a' ~- |& o# @
. {4 U5 \+ L3 N6 } 方法如下: 1 e% t: v$ m. S
1、鼠标右键单击我的电脑,然后选择“管理”
2 h8 y& f: Z, C2 a7 D 2、在左侧“本地用户和组”中,选择“用户”- V6 S, ~4 r l* w, g) r+ t" j
3、右键单击“Administrator”,然后选择“重命名”
# ^1 q6 A* e2 N, J4、定义新的名称,如我定义的“69357
6 t- u6 S7 X7 r7 b, z5、右键单击“69357”,然后选择“设置密码” ' v# B; `% p* S# u# P
6、设置密码,建议16位以上的数字+标点+英文大小写的组合 4 K K3 r/ C0 B
7、在空白处右键单击,然后选择“新用户”, k" G- U, _& L3 d) W/ E _0 [
8、“用户名”处填写“Administrator”,然后设置一个密码,不要跟上面那个密码一样
7 Z' q' X+ f1 |5 R. C 9、来看看新建的“Administrator”隶属于哪个用户组
) \( a( {, B9 d3 ]10、再看看“69357”属于哪个用户组? : _$ m+ Q9 U, ?
二、杜绝Guest帐户的入侵
* F0 B$ z2 f6 n% L" q/ ^* f7 `3 s" V8 D
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。
F7 B: v1 d5 t% X. P0 `
; S% b" M$ X7 T3 L% U 禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。
; v; h, t9 D& F4 e1 M0 \# P2 a
三、禁止建立空链接
' F- q7 J \0 y% R* |2 C$ v
' H' D3 S* A! r* a( _6 s+ L8 @ 在默认的情况下,任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。因此必须禁止建立空连接。 ( ^1 O) R7 r6 `$ h/ R
- }* C* @( F7 \2 h6 H
方法一:是修改注册表
# _: y& |" D' i+ W1 L, _: \$ a 1、“开始”——“运行”,输入“regedit”
% n2 x" @; E7 W- H2、到注册表 HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA下,将DWORD值RestrictAnonymous的键值改为1即可 * B5 K( m- R' B2 n6 W
v; {1 G, A/ j% Q1 @
" Q ?, U7 C( j% _' S
方法二:是修改Windows 2000/XP的本地安全策略
$ v; ^5 I/ S2 ~8 b0 T, j/ D 1、“开始”——“运行”,输入“secpol.msc”,打开“本地安全设置”
( j# x. l: x$ t2 {* a5 O f
; k0 g% W* |& N6 L9 { W
' e- h# j/ h. T 2、在左侧的“本地策略”——“安全选项”中,找到“对匿名连接的额外限制”,然后修改为“不允许枚举SAM帐号和共享”
( {. |5 v3 g0 w3 U( y 四、浏览网页和登录QQ时隐藏真实IP地址 1 _, \; `: Y7 m; }
: O( t n/ _6 A4 |. B O, A
黑客经常利用一些网络探测技术来查看主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
$ K+ O" m: C. x5 N% D
, W* P& `* M6 A8 X1 y) M9 _ 与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。
$ M" L; ]" _+ P G. @' C6 k: O
% i+ d8 o) z, Q* g IE中使用代理服务器的方法: % v6 J/ T8 c& K" r1 z
1、鼠标右键单击桌面上的“Internet Explorer”,然后选择“属性” $ U: P' y+ _) }1 H `% I
2、选中“连接”,然后选中拨号默认设置,再点击“设置”
, o* B. O5 W3 J! u0 X) P( W3、在代理服务器中,勾选上“使用代理服务器”,并且输入代理服务器地址和端口 ! E4 _$ F4 p/ H! r5 n0 u
注:提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。 o( m: e7 k3 \& q0 C% P1 K7 [
/ R' n- Y4 q9 _5 O QQ中使用代理服务器的方法:
: W7 ~7 o! g y% w$ D' g 1、选中“菜单”——“设置”——“系统设置” 8 [' r& Q4 ~7 t- z: H
2、在“代理设置”中,选择类型,并输入服务器的IP地址和端口,建议在设置好后,单击“测试”,测试下该代理服务器是否可以使用
: i& @* Q* Y; G+ j- g五、关闭不必要的服务
, Z8 X+ l+ ~5 x0 e: R
$ C) v A5 g1 @: j 服务开得多可以给管理带来方便,但也会给黑客留下可乘之机,因此对于一些确实用不到的服务,最好关掉。比如在不需要远程管理计算机时,将有关远程网络登录的服务关掉。去掉不必要的服务停止之后,不仅能保证系统的安全,同时还可以提高系统运行速度。
/ \3 W3 H& ^# q( N
" {+ _0 t3 U5 n6 A: h 大家可以进入服务管理器中进行关闭。方法:
* D+ s/ [+ }7 d0 `- D9 M) D! R 1、“开始”——“运行”,输入“services.msc” * ^. }+ m6 I9 G% q9 u
2、进入“服务管理器”,禁用服务 % p1 F7 |6 d* X) t
对于新手,笔者给大家推荐款软件----Windows系统服务优化终结者(点击下载) 大家可以根据自己的实际情况和软件作者的建议,来关闭服务。
; Q$ d% }$ L$ k# `+ ]) N6 {* p *六、安装必要的安全软件(重要) + o& K" F' J* V7 k7 {& q3 E
7 I3 \2 ^9 J& @) W/ R
还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻,安全也是有保证的。 6 o/ r( d7 c5 X
1 n0 _& F, _6 }% x5 b6 k* R0 W
笔者指的防火墙是具有特征码过滤功能的防火墙,而不是单纯的端口强制关闭型防火墙。因为具有特征码过滤功能的防火墙能够有效阻断脚本病毒利用、漏洞下载木马、和杀毒软件联动阻止木马进入内存、防止木马将信息回传给黑客、防止泄密和受控。
/ C H) ?0 Z8 r' L5 }
3 c$ U8 E, N3 y2 q3 I& T 笔者在这里推荐大家使用“瑞星防火墙”(点击下载瑞星防火墙)并配以“寿宁、taylor0577、春林”联合编写的瑞星防火墙自定义规则( 下载地址:http://bbs.hzva.org/viewthread.php?tid=7092&extra=page%3D1 )。 七、如无必要,Windows 2000/XP用户应尽量关闭IPC$共享 9 E8 h9 P8 ^( ?2 H( L/ Y1 N
8 ?) ]# q: _: F: x
方法:
, t8 \/ o' Q6 r ?" y h 1、鼠标右键单击我的电脑,然后选择“管理” / s0 F0 \ w. Z. M$ S. F( ~
! a# c9 c( H; | r' }# r3 ~8 X: W
# V/ `. f1 M" Z6 A1 m# v! [. a 2、选择左侧“共享文件夹”——“共享”,鼠标右键单击右侧的IPC$,然后选择“停止共享” / p3 n1 R. Y; Q- }$ [8 V# q
2 u: J! U2 U1 L7 x1 H9 N5 \ K7 z 八、关闭自动播放功能 + v5 S. b4 C( Q; L/ I4 B7 A2 R
% O# M9 p; o; E7 G 使用U盘等移动设备交换文件时,一定要先用杀毒软件扫描,并关闭自动播放功能。可利用组策略,关闭所有驱动器的自动播放功能。
2 G- |! D* W7 G0 D( `- j: F. ]* e
方法:
3 p7 `0 s* x% d8 { 1、点击“开始”——“运行”,输入“gpedit.msc” 2、在左侧“管理模块”——“系统”,找到“停用自动播放”,并双击 + o8 D' i! m* ^
3、在“停用自动播放”处选择“所有驱动器”,然后选择“启动”
6 y% v3 W# G' e/ S. r% R& r 2 r+ k1 i" `, Q, E8 J
4、在“开始”——“运行”中输入“gpupdate”,确定后,该策略就生效了 $ k0 a I G5 z7 s0 t6 E9 ^
2 [4 M- }9 Y( H8 C 九、QQ崩溃后不要急于登录 ; L- U* z4 H1 `5 x
' n' q. a3 {6 x9 F 在中了一些QQ木马后,QQ会在短时间内造成崩溃,当你立即登录,木马就会记录下你的输入内容,并发到指定的邮箱/FTP上,造成号码被盗。所以当QQ崩溃后,请大家先使用“QQ医生”或者杀毒软件扫描下本地所有硬盘,确认安全后,再尝试登录。 |
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2009-7-28 19:57:36
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡