所謂電腦肉雞,就是擁有管理許可權的遠端電腦。也就是受別人控制的遠端電腦。肉雞可以是各種系統,如win,linux,unix等;更可以是一家公司\企業\學校甚至是政府軍隊的伺服器,一般所說的肉雞是一台開了3389埠的Win2K系統的伺服器,所以3389埠沒必要開時關上最好。要登陸肉雞,必須知道3個參數:遠程電腦的IP、用戶名、密碼。說到肉雞,就要講到遠程控制。遠端控制軟體例如灰鴿子、上興等。
肉雞不是吃的那種,是中了木馬或者留了後門,可以被遠端操控的機器,現在許多人把有WEBSHELL 許可權的機器也叫肉雞。
誰都不希望自己的電腦被他人控制,但是很多人的電腦是幾乎不設防的,很容易被遠程攻擊者完全控制。你的電腦就因此成為別人砧板上的肉,別人想怎麼吃就怎麼吃,肉雞(機)一名由此而來。
如何檢測自己是否成為肉雞,注意以下幾種基本的情況:
1:QQ、MSN的異常登錄提醒 (系統提示上一次的登錄IP不符)
2:網路遊戲登錄時發現裝備丟失或與上次下線時的位置不符,甚至用正確的密碼無法登錄。
3:有時會突然發現你的滑鼠不聽使喚,在你不動滑鼠的時候,滑鼠也會移動,並且還會點擊有關按鈕進行操作。
4:正常上網時,突然感覺很慢,硬碟燈在閃爍,就象你平時在COPY文件。
5:當你準備使用攝像頭時,系統提示,該設備正在使用中。
6:在你沒有使用網路資源時,你發現網卡燈在不停閃爍。如果你設定為連接後顯示狀態,你還會發現螢幕右下角的網卡圖示在閃。
7:服務列隊中出可疑程服務。
8:寬頻連接的用戶在硬體打開後未連接時收到不正常資料包。(可能有程式後臺連接)
9:防火牆失去對一些埠的控制。
10:上網過程中電腦重啟。
11:有些程式如殺毒軟體防火牆卸載時出現閃屏(卸載介面一閃而過,然後報告完成。)
12:一些用戶信任並經常使用的程式(QQ`殺毒)卸載後。目錄文仍然存在,刪除後自動生成。
13:電腦運行過程中或者開機的時候彈出莫名其妙的對話方塊 以上現象,基本是主觀感覺,並不十分準確,但需要提醒您注意。
14:還可以通過CMD下輸入 NETSTAT -AN 查看是否有可疑埠等接下來,我們可以借助一些軟體來觀察網路活動情況,以檢查系統是否被入侵:
1.注意檢查防火牆軟體的工作狀態。比如金山網鏢。在網路狀態頁,會顯示當前正在活動的網路連接,仔細查看相關連接。如果發現自己根本沒有使用的軟體在連接到遠端電腦,就要小心了。
2.推薦使用tcpview,可以非常清晰的查看當前網路的活動狀態。 一般的木馬連接,是可以通過這個工具查看到結果的。
這裏說一般的木馬連接,是區別于某些精心構造的rootkit木馬採用更高明的隱藏技術,不易被發現的情況。
3.使用金山清理專家進行線上診斷,特別注意全面診斷的進程項。清理專家會對每一項進行安全評估,當遇到未知項時,需要特別小心。
4.清理專家百寶箱的進程管理器。可以查找可疑檔,幫你簡單的檢查危險程式所在。
如何避免自己的電腦成為“肉雞”
1.關閉高危埠:
第一步,點擊“開始”菜單/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地電腦”,在右邊窗格的空白位置右擊滑鼠,彈出快顯功能表,選擇“創建 IP 安全策略”,於是彈出一個嚮導。在嚮導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“啟動默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話方塊中,把“使用添加嚮導”左邊的鉤去掉,然後單擊“添加”按鈕添加新的規則,隨後彈出“新規則屬性”對話方塊,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加嚮導”左邊的鉤去掉,然後再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話方塊,首先看到的是定址,源位址選“任何 IP 位址”,目標位址選“我的 IP 位址”;點擊“協定”選項卡,在“選擇協定類型”的下拉清單中選擇“TCP”,然後在“到此埠”下的文本框中輸入“135”,點擊“確定”按鈕(如左圖),這樣就添加了一個遮罩 TCP 135(RPC)埠的篩選器,它可以防止外界通過135埠連上你的電腦。
點擊“確定”後回到篩選器列表的對話方塊,可以看到已經添加了一條策略,重複以上步驟繼續添加 TCP 137、139、445、593 埠和 UDP 135、139、445 埠,為它們建立相應的篩選器。
重複以上步驟添加TCP 1025、2745、3127、6129、3389 埠的遮罩策略,建立好上述埠的篩選器,最後點擊“確定”按鈕。
第四步,在“新規則屬性”對話方塊中,選擇“新 IP 篩選器列表”,然後點擊其左邊的圓圈上加一個點,表示已經啟動,最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加嚮導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作(右圖):在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然後點擊“確定”按鈕。
第五步,進入“新規則屬性”對話方塊,點擊“新篩選器操作”,其左邊的圓圈會加了一個點,表示已經啟動,點擊“關閉”按鈕,關閉對話方塊;最後回到“新IP安全策略屬性”對話方塊,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話方塊。在“本地安全策略”視窗,用滑鼠右擊新添加的 IP 安全策略,然後選擇“指派”。
重新啟動後,電腦中上述網路埠就被關閉了,病毒和駭客再也不能連上這些埠,從而保護了你的電腦。
2.及時打補丁 即升級殺毒軟體
肉雞捕獵者一般都是用“灰鴿子”病毒操控你的電腦,建議用灰鴿子專殺軟體殺除病毒。
3.經常檢查系統
經常檢查自己電腦上的殺毒軟體,防火牆的目錄,服務,註冊表等相關項。駭客經常利用用戶對它們的信任將木馬隱藏或植入這些程式。警惕出現在這些目錄裏的系統屬性的DLL。(可能被用來DLL劫持)。警惕出現在磁片根的pagefile.sys.(該檔本是虛擬頁面交換檔。也可被用來隱藏檔。要檢查系統的頁面檔的盤符是否和它們對應)
4.盜版Windows XP存在巨大風險
如果你的作業系統是其他技術人員安裝,或者有可能是盜版XP,比如電腦裝機商的**版本,蕃茄花園XP,雨木林風XP,龍捲風XP等。這樣的系統,很多是無人值守安裝的。安裝步驟非常簡單,你把光碟放進電腦,出去喝茶,回來就可能發現系統已經安裝完畢。
這樣的系統,最大的缺陷在哪兒呢?再明白不過,這種系統的管理員口令是空的,並且自動登錄。也就是說,任何人都可以嘗試用空口令登錄你的系統,距離對於互聯網來說,根本不是障礙。
5.小心使用移動存儲設備
在互聯網發展起來之前,病毒的傳播是依賴於軟碟的,其後讓位於網路。現在,公眾越來越頻繁的使用移動存儲設備(移動硬碟、U盤、數碼存儲卡)傳遞檔, 這些移動存儲設備成為木馬傳播的重要通道。電腦用戶通常把這樣的病毒稱為[1][2][3]U盤病毒或AUTO病毒。意思是插入U盤這個動作,就能讓病毒從一個U盤傳播到 另一台電腦。
6.安全上網
成為肉雞很重要的原因之一是流覽不安全的網站,區分什麼網站安全,什麼網站不安全,這對普通用戶來說,是很困難的。並且還存在原來正常的網站被入侵植入木馬的可能性,也有被ARP攻擊之後,訪問任何網頁都下載木馬的風險。
上網下載木馬的機會總是有的,誰都無法避免,只能減輕這種風險。流覽器的安全性需要得到特別關注,流覽器和流覽器插件的漏洞是駭客們的最愛,flash player漏洞就是插件漏洞,這種漏洞是跨流覽器平臺的,任何使用flash player的場合都可能存在這種風險。
成為肉雞後的自救方法
一、正在上網的用戶,發現異常應首先馬上斷開連接
如果你發現IE經常詢問是你是否運行某些ActiveX控制項,或是生成莫名其妙的檔、詢問調試腳本什麼的,一定要警惕了,你可能已經中招了。典型的上網被入侵有兩種情況:
一是流覽某些帶惡意代碼的網頁時候被修改了流覽器的默認主頁或是標題,這算是輕的;還有就是遇到可以格式化硬碟或是令你的Windows不斷打開視窗,直到耗盡資源死機——這種情況惡劣得多,你未保存和已經放在硬碟上的資料都可能會受到部分或全部的損失。
二是潛在的木馬發作,或是蠕蟲類病毒發作,讓你的機器不斷地向外界發送你的隱私,或是利用你的名義和郵件位址發送垃圾,進一步傳播病毒;還有就是駭客的手工入侵,窺探你的隱私或是刪除破壞你的檔。
自救措施:馬上斷開連接,這樣在自己的損失降低的同時,也避免了病毒向更多的線上電腦傳播。請先不要馬上重新啟動系統或是關機,進一步的處理措施請參看後文。
二、中毒後,應馬上備份、轉移文檔和郵件等
中毒後運行殺毒軟體殺毒是理所當然的了,但為了防止殺毒軟體誤殺或是刪掉你還未處理完的文檔和重要的郵件,你應該首先將它們備份到其他儲存媒體上。有些長檔案名的檔和未處理的郵件要求在Windows下備份,所以上文筆者建議你先不要退出Windows,因為病毒一旦發作,可能就不能進入Windows了。
不管這些檔是否帶毒,你都應該備份,用標籤紙標記為“待查”即可。因為有些病毒是專門針對某個殺毒軟體設計的,一運行就會破壞其他檔,所以先備份是防患於未然的措施。等你清除完硬碟內的病毒後,再來慢慢分析處理這些額外備份的檔較為妥善。
三、需要在Windows下先運行一下殺CIH的軟體(即使是帶毒環境)
如果是發現了CIH病毒,要注意不能完全按平時報刊和手冊建議的措施,即先關機、冷啟動後用系統盤來引導再殺毒,而應在帶毒的環境下也運行一次專殺CIH的軟體。這樣做,殺毒軟體可能會報告某些檔受讀防寫無法清理,但帶毒運行的實際目的不在於完全清除病毒,而是在於把CIH下次開機時候的破壞減到最低,以防它在再次開機時破壞主板的BIOS硬體,導致黑屏,讓你下一步的殺毒工作無法進行。
四、需要乾淨的DOS啟動盤和DOS下面的殺毒軟體
到現在,就應該按很多殺毒軟體的標準手冊去按部就班地做。即關機後冷啟動,用一張乾淨的DOS啟動盤引導;另外由於中毒後可能Windows已經被破壞了部分關鍵檔,會頻繁地報告非法操作,所以Windows下的殺毒軟體可能會無法運行。所以請你也準備一個DOS下面的殺毒軟體以防萬一。
即使能在Windows下運行殺毒軟體,也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝,因為病毒會破壞掉一部分檔讓系統變慢或出現頻繁的非法操作。比如即使殺了CIH,微軟的Outlook郵件程式也是反應較慢的。建議不要對某種殺毒軟體帶偏見,由於開發時候側重點不同、使用的殺毒引擎不同,各種殺毒軟體都是有自己的長處和短處的,交叉使用效果較理想。
五、如果有Ghost和分區表、引導區的備份,用之來恢復一次最保險
如果你在平時用Ghost備份做了Windows的,用之來鏡像一次,得到的作業系統是最保險的。這樣連潛在的未殺光的木馬程式也順便清理了。當然,這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也“備份”了就後患無窮了。
六、再次恢復系統後,更改你的網路相關密碼
包括登錄網路的用戶名、密碼,郵箱的密碼和QQ的密碼等,防止駭客用上次入侵過程中得到的密碼進入你的系統。另外因為很多蠕蟲病毒發作會向外隨機發送你的資訊,所以及時地更改是必要的。
電腦肉雞的商業價值
1.盜竊“肉雞”電腦的虛擬財產
虛擬財產有:網路遊戲ID帳號裝備、QQ號裏的Q幣、聯眾的虛擬榮譽值等等。虛擬財產,是可以兌現為真實貨幣的,多少不限,積累起來就是財富。
2.盜竊“肉雞”電腦裏的真實財產
真實財產包括:網上銀行,大眾版可以進行小額支付,一旦你的網銀帳號被盜,最多見的就是要為別人的消費買單了。此外,還有網上炒股,證券大盜之類的木馬不少,攻擊者可以輕易獲得網上炒股的帳號,和銀行交易不同的是,攻擊者不能利用偷來的炒股帳號直接獲益,這是由股票交易的特殊性決定的。不然,網上炒股一定會成為股民的噩夢。
相當多的普通電腦用戶不敢使用網上銀行,原因就是不瞭解該怎樣保護網上銀行的帳號安全。事實上,網上銀行的安全性比網上炒股強很多。正確使用網上銀行,安全性和便利性都是有保障的。
3.盜竊他人的隱私數據
陳冠希事件,相信大家都知道,如果普通人的隱密照片、文檔被發佈在互聯網上,後果將會十分嚴重。利用偷來的受害人隱私資訊進行詐騙、勒索的案例不少。
還有攻擊者熱衷於遠程控制別人的攝像頭,滿足偷窺他人隱私的邪惡目的。
如果偷到受害人電腦上的商業資訊,比如財務報表、人事檔案,攻擊者都可以謀取非法利益。
4.可利用受害人的人脈關係獲取非法利益
你或許認為你的QQ號無足輕重,也沒QQ秀,也沒Q幣。實際上並非如此,你的QQ好友,你的Email聯繫人,手機聯繫人,都是攻擊者的目標,攻擊者可以偽裝成你的身份進行各種不法活動,每個人的人脈關係都是有商業價值的。
最常見的例子就是12590利用偷來的QQ號群發垃圾消息騙錢,還有MSN病毒,自動給你的聯繫人發消息騙取非法利益。
5.在肉雞電腦上種植流氓軟體,自動點擊廣告獲利
這種情況下,會影響你的上網體驗,相信所有人都很討厭電腦自動彈出的廣告。攻擊者在控制大量肉雞之後,可以通過強行彈出廣告,從廣告主那裏收穫廣告費,流氓軟體氾濫的原因之一,就是很多企業購買流氓軟體發展者的廣告。
還有的攻擊者,通過肉雞電腦在後臺偷偷點擊廣告獲利,當然,受損的就是肉雞電腦了。
6.以肉雞電腦為跳板(代理伺服器)對其他電腦發起攻擊
駭客的任何攻擊行為都可能留下痕跡,為了更好的隱藏自己,必然要經過多次代理的跳轉,肉雞電腦充當了仲介和替罪羊。攻擊者為傳播更多的木馬,也許會把你的電腦當做木馬下載站。網速快,機器性能好的電腦被用作代理伺服器的可能性更大。
7.“肉雞”電腦是發起DDoS攻擊的馬前卒
DDoS,你可以理解為網路黑幫或網路戰爭,戰爭的發起者是可以獲取收益的,有人會收購這些網路打手。這些網路黑幫成員,也可以直接對目標主機進行攻擊,然後敲詐勒索。“肉雞”電腦,就是這些網路黑幫手裏的一個棋子,DDoS攻擊行為已經是網路毒瘤。
總之,“肉雞”電腦是攻擊者致富的源泉,在攻擊者的圈子裏,“肉雞”電腦就象白菜一樣被賣來賣去。在黑色產業鏈的高端,這些龐大“肉雞”電腦群的控制者構築了一個同樣龐大又黑暗的木馬帝國。
防止成為“肉雞”的,所需要注意的有如下幾點:
要點1:盜版Windows XP存在巨大風險,需要對這樣立即進行安全性改造。
如果你的作業系統是其他技術人員安裝,或者有可能是盜版XP,比如電腦裝機商的**版本,蕃茄花園XP,雨木林風XP,龍捲風XP等。這樣的系統,很多是無人值守安裝的。安裝步驟非常簡單,你把光碟放進電腦,出去喝茶,回來就可能發現系統已經安裝完畢。
這樣的系統,最大的缺陷在哪兒呢?再明白不過,這種系統的管理員口令是空的,並且自動登錄。也就是說,任何人都可以嘗試用空口令登錄你的系統,距離對於互聯網來說,根本不是障礙。
改造方法:
立即修改administrator用戶口令,口令使用字母和其他特殊字元的組合,長度不低於8位。
改變登錄方式,要求必須按ctrl alt del才可以登錄。
要點2:任何時候離開你的電腦,建議拔掉網線,不能斷線的電腦,建議立即鎖定,不要讓陌生人能夠物理的接觸到你的電腦。
隨便找一個windows PE的光碟(深山紅葉修復工具盤等),用這種光碟引導,可輕易修改你的管理員登錄密碼,修改你的註冊表資訊,當然也包括寫入病毒,再啟動病毒程式。
曾經有個例子,上海某白領的網上銀行一次性被雲南的駭客劃走數10萬元。對於一般的網上銀行來說,大眾版通常限制了一天取款1000元左右,是小額支付, 一旦丟失帳號,也不至於損失特別巨大。對於專業版網上銀行來說,如果數位證書是存儲在本機電腦,當你較長時間離開你的電腦時,攻擊者可以遠端控制你的電 腦,在你的電腦上轉移財產。這和你本地進行線上銀行業務沒有任何區別。對於使用移動數字證書的網上銀行用戶,千萬注意,用完就拔掉數字證書,不要給攻擊者 任何機會。
解決辦法:
當你需要較長時間離開電腦時,鎖定電腦,或拔掉網線。
要點3:確保啟用網路防火牆
對於互聯網用戶來說,網路防火牆(注意,這裏指firewall,不是很多人認為的病毒即時監控)是隔離你和外界的一道關口,正確啟用和配置防火牆,將會使你減少很多直接面對攻擊的機會。在你的系統有漏洞未修補時,防火牆可能是唯一可保護你的電腦安全的解決方案。
但是,不要以為開啟了防火牆就萬事無憂了,防火牆基本只是攔截由外到內(由互聯網到本機)通信,由內向外的訪問,很容易使用各種手段進行欺騙,木馬就是這樣逃避防火牆完成盜竊任務的。
儘管,防火牆不是總有效,但有防火牆比沒有強很多,是必須要啟用的。
要點4:切實關注安全漏洞資訊,及時使用各種補丁修復工具,提升系統安全性
系統漏洞在正式公佈前,通常會被駭客利用很長時間,這就是通常說的0day攻擊,這樣的攻擊也越來越常見。漏洞涉及windows 作業系統檔和其他應用軟體,但風險最大的仍是windows 系統漏洞。應用軟體漏洞的利用會受到較多的環境制約,通常風險相對較低。
最近廣泛引起人們關注的是flash player漏洞,攻擊者可利用這個漏洞運行任意指定的代碼。
解決方案:
能用windows update的,一定要用,讓windows進行自動更新。看到右下角windows update正在工作的圖示,別給阻止了。
部分盜版用戶不能正常使用windows update或microsoft update的,建議使用第三方漏洞修復工具,比如金山清理專家的漏洞掃描修復模組。
要點5:安裝使用殺毒軟體,並經常檢查是否工作正常,是否可以進行病毒特徵的更新
不要把安全問題只交給殺毒軟體來負責,安全是系統工程,殺毒軟體只是其中的一環。總是先有病毒,才會有殺毒軟體更新。在很多情況下,安裝殺毒軟體之後,還 是會中各種各樣的病毒。但這不能說明殺毒軟體不必要,相反,殺毒軟體是非常重要的,如果沒有殺毒軟體,你的系統可能會更糟。
越來越多的病毒為了入侵你的系統,首先會嘗試將殺毒軟體廢掉。破壞殺毒軟體的功能,可能比殺毒軟體對付病毒還要容易。因為破壞者的目標很明確,就是市面最 流行的軟體,針對這幾種安全軟體做手腳是很容易的。並且,病毒製造者不象殺毒軟體那樣,必須考慮每個更新帶來的相容性問題,攻擊者只關注木馬需要完成的任 務,其他後果,病毒製造者是不用花很多功夫去考慮的。
木馬病毒製造者是這樣痛恨殺毒軟體,以至於目前有相當多的木馬入侵後,首先會去破壞殺毒軟體,只要破壞者願意,有針對性的破壞殺毒軟體總是可以做到的,用戶不要指望殺毒軟體自身可以做成銅牆鐵壁。連作業系統都可以被破壞,何況殺毒軟體。
我們還可以把殺毒軟體的工作狀態,當作另一種檢驗工具:只要觀察到殺毒軟體突然不工作了,你首先應該考慮是不是被木馬給破壞了。
解決辦法:
安裝一款適合自己的殺毒軟體,並且在有效期內注意經常檢查其功能,比如能不能正常啟動,能不能正常升級等等。
要點6:一定要小心使用移動存儲設備
在互聯網發展起來之前,病毒的傳播是依賴於軟碟的,其後讓位於網路。現在,公眾越來越頻繁的使用移動存儲設備(移動硬碟、U盤、數碼存儲卡)傳遞檔, 這些移動存儲設備成為木馬傳播的重要通道。電腦用戶通常把這樣的病毒稱為U盤病毒或AUTO病毒。意思是插入U盤這個動作,就能讓病毒從一個U盤傳播到 另一台電腦。
解決辦法:
立即毫不猶豫的禁用U盤的自動播放功能,這個功能的方便性微不足道,但染毒的風險非常重要。
禁用的方法,可以在毒霸的設置中修改。
要點7:安全上網
成為肉雞很重要的原因之一是流覽不安全的網站,區分什麼網站安全,什麼網站不安全,這對普通用戶來說,是很困難的。並且還存在原來正常的網站被入侵植入木馬的可能性,也有被ARP攻擊之後,訪問任何網頁都下載木馬的風險。
上網下載木馬的機會總是有的,誰都無法避免,只能減輕這種風險。
流覽器的安全性需要得到特別關注,流覽器和流覽器插件的漏洞是駭客們的最愛,flash player漏洞就是插件漏洞,這種漏洞是跨流覽器平臺的,任何使用flash player的場合都可能存在這種風險。
解決辦法:
及時修補流覽器漏洞,及時將流覽器升級到最新的版本,減少把有風險的系統暴露給攻擊者的時間。
避免流覽一些灰色站點,通常這種站點流量比較大,比如人數眾多的生活社區、線上視頻社區、聊天交友社區、色情類網站、賭博類網站等等。流覽這類網站,如果發現系統異常,應該立即用《”如何檢測電腦是不是”肉雞“》所介紹的方法進行檢查。
以上,絕不是安全防護的全部,可以說是最重要的風險最大的幾個環節,注意從上面這幾點進行安全防護,至少三角貓的駭客拿你沒辦法。
安全防護是動態的,時刻提高警惕吧,對互聯網來說,要有視一切為威脅的觀點。就象對一個外科醫生來說,在他的眼裏,一切物體都是被細菌病毒污染的,消毒是最基本原則。
留言列表
{{ article.title }}