| 电脑木马防范 |
|
作者:淘宝 文章来源:《计算机应用文摘》 点击数: 更新时间:2007-9-18 6:07:27  |
前几天晚上打开电视机,无意间看到“焦点访谈”栏目,正在播放昆明某位黑客的故事,他通过木马成功捕捉到大量肉鸡,并且获得肉鸡系统的相关资料……
一下子我好像联想到什么,肉鸡这个词怎么这么熟?我仔细回想,原来由于前阵子“灰鸽子”木马闹得沸沸扬扬,因此肉鸡这个黑客术语常常见诸于媒体报端。
很显然,这种肉鸡是不可能做成“蜜汁烤翅”,也不能做成“骨肉相连”。那么,黑客所说的肉鸡是什么呢?肉鸡在黑客手中又有什么作用呢?我能不能也可以拥有大量的肉鸡呢(图1)?
谁是肉鸡?
有了网络就是方便,首先百度一下肉鸡这个关键词。查看了几条搜索结果就大概明白了,肉鸡实际上是被黑客操控的计算机,而控制的方法主要是利用木马或后门程序。不过随着黑客入侵技术的发展,很多被黑客攻陷得到了WebShell权限的服务器,也可以叫做肉鸡。
联想到餐桌上任人宰割和享用的肉鸡,肉鸡这个词语确实比较贴切,都是任人宰割嘛,也不知道是那位大侠取得这么生动的名字。
肉鸡用处大
黑客为什么这么钟情于捕捉肉鸡呢?现实中的肉鸡可以通过贩卖获得经济利益,而黑客捕捉的这些肉鸡又能干什么呢?又是一通网络上的奔走查问,“走仙山、访名洞、拜神人”,终于让我了解了一些。
首先,通过肉鸡可以架设跳板,黑客在入侵时通过跳板来操作。这样即使被记录下入侵过程,那也只会暴露该肉鸡的IP地址,从而“嫁祸于人”。
其次,黑客通过大量的肉鸡可以组成僵尸网络,对某个特定的IP地址进行DDoS攻击,同样可以做到IP地址上的“查无此人”。网上现在就有一批被称之为“网络黑帮”的人,通过肉鸡向某个网站发动DDoS攻击,从而进行敲诈勒索。还有就是如果某项活动需要进行网站投票的话,那么肉鸡的威力也会显现出来。
可以说,每一次大的黑客行动都离不开肉鸡的身影,但现在的情况是“经济利益”已经成为黑客最大的驱动力,因此肉鸡也成为一种“商品”。打开百度中的“灰鸽子贴吧”,就可以看到这里的肉鸡被明码标价公开叫卖。
肉鸡怎么捉
一个问题解决了,另一个问题又来了。怎么才能利用木马程序进行远程控制操作呢?“灰鸽子贴吧”中有大量带徒弟的信息,也有抓肉鸡的教程出售,比如我就看一套“肉鸡捕捉秘笈”要50Q币。
1.做好笼子
前面已经提到要想控制肉鸡,必须通过木马操作,所以先要配置木马的服务端程序。木马选择有讲究,比如灰鸽子虽然好用强大,但是它太出名了,所以可以选择《上兴远程控制2007》(以下简称上兴)。
运行上兴客户端程序,点击工具栏中的“配置服务端”按钮。上兴采用了反弹连接方式,可以采用动态域名、IP地址等方式进行连接。将连接需要的域名或IP地址输入到“DNS域名解析更新IP”中,接着设置好安装程序、安装路径和连接密码等内容。木马名称可以进行随意命名,惟一的要求就是不要和系统现有的程序名称冲突即可。
上兴采用了多种隐蔽手段,比如线程插入。大家可以选择将木马进程插入到IE浏览器进程,或其他System32系统目录文件,不过只能同时选择其中一种插入方法。为了增强服务端程序的清除难度,新版本的上兴还提供了一个“自克隆保护文件安装路径”选项,这样木马可以多个进程相互监控。最后点击“生成服务端”按钮,即可生成所需的服务端程序。
2.捕捉肉鸡
木马服务端配置完成后,经过简单的伪装就可以利用文件捆绑、邮件附件、网页木马等方法来捕捉肉鸡。
以前,利用漏洞扫描进行木马种植是很常见的,常用的扫描器包括X-Scan、《阿D工具箱》等。在扫描器中设置好要扫描的IP地址段,选中相应的系统漏洞类型后,点击“开始”按钮即可。洞扫描完成后,就可以利用该漏洞植入木马了。
现如今的黑客变得越来越懒了,以前的主动出击都成为现在的守株待兔了,使用网页木马捕捉肉鸡是最主要的方法。比如利用微软MS07004漏洞,来配置生成网页木马。
运行网页木马生成器,接着在“请输入您的木马地址”选项中输入木马网址,接着在选择“网马类型”选择“MS06014+MS07004”选项,最后点击“生成普通版网马”按钮就可以生成所需的网页木马。
将生成的网页木马文件上传到网络空间,然后将网页木马地址发给其他人,诱骗其点击运行该木马链接即可。该网页木马首先会主动检测系统漏洞,再择优选择所需要运行的网页木马,从而达到两只相互补充的效果。
我是肉鸡吗?
突然想到一个问题,我会成为别人的肉鸡,不由地惊出一身冷汗。虽然通过杀毒软件可以对一些已知的木马进行清除,但是随着0day漏洞和未知木马的层出不穷,因此防范的时候还需要打一套“组合拳”才行。
第一招:查端口
要判断系统是否安装有木马,首先从系统端口来检测。正向连接的木马由服务端打开特定的端口,然后客户端程序向服务端发出连接信号;而反弹连接的木马程序正好相反,客户端系统打开端口,等待服务端的自动连接。每一个木马程序都有特定使用的端口,比如冰河(7627)、灰鸽子(8000)等等。打开命令提示符窗口,键入“netstat -an”(如图6)。
Local Address代表本机地址,冒号后的数字就是使用的端口号;Foreign Address代表远程地址,State代表状态。如果发现源端口或目的端口是某些木马程序特定使用的端口,那么就说明本地计算机已经成为别人的肉鸡了。
第二招:系统进程辨真伪
不管是木马程序还是正规程序,执行以后都会在系统之中出现进程信息。木马将名称和系统进程设置得十分地相似,通过“用户名”来查看其加载用户,系统进程都是System用户加载的,如果是由当前使用用户加载的,那么它一定有问题。
很多的木马会隐藏进程,这时可以通过冰刃的进程列表查看,红色的就是隐藏进程。所以还可以同时打开任务管理器和冰刃比较进程,如果冰刃里多出一个进程,那可能就是木马进程。
第三招:启动项中细分析
对系统的启动项进行检测也是很有效的方法,比如使用System Repair Engineer(后文简称SREng)这款系统检测工具。为了增强用户的分别能力,程序可以对启动项、系统服务的危险性判断规则,当发现可疑内容时会以颜色高亮显示。
点击工具栏中的“启动项目”按钮,首先查看“注册表”启动项,SREng会自动读取Windows系统所有启动项目的内容,如果发现默认的键值被修改成非默认值,那么会弹出一个警告提示提醒用户注意(如图7)。
小结
由于经济利益的驱使,现在网络售卖木马已经很多了。有法律专家指出,《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有明确的界定。这也是黑客们在网上公开叫卖“肉鸡”而无人管的一个重要原因。
我们一方面要掌握好安全知识,防范被黑客利用,另一方面也应该了解一些黑客知识,以便更有针对性地反黑,但绝不应该用它来害人害己。
|
| 文章录入:admin 责任编辑:admin |
|
上一篇文章: 如何在网上开店
下一篇文章: 手机号码所归属的城市 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
