被遠程控制的機器(肉雞)詳談
被遠程控制的機器(肉雞)詳談
本文向大家介紹“肉雞”遠程攻擊,可能好多人還不了解“肉雞”遠程攻擊,沒有關(guān)系,看完本文你肯定有不少收獲,希望本文能教會你更多東西
什么是電腦“肉雞”
所謂電腦肉雞,就是擁有管理權(quán)限的遠程電腦。也就是受別人控制的遠程電腦。“肉雞”可以是各種系統(tǒng),如win,Linux,unix等;更可以是一家公司企業(yè)學校甚至是政府軍隊的服務(wù)器,一般所說的“肉雞”是一臺開了3389端口的Win2K系統(tǒng)的服務(wù)器,所以3389端口沒必要開時關(guān)上最好。
要登陸“肉雞”,必須知道3個參數(shù):遠程電腦的IP、用戶名、密碼。
說到“肉雞”,就要講到遠程控制。遠程控制軟件例如灰鴿子、上興等。
肉雞不是吃的那種,是中了木馬,或者留了后門,可以被遠程操控的機器,現(xiàn)在許多人把有WEBSHELL 權(quán)限的機器也叫肉雞。
誰都不希望自己的電腦被他人控制,但是很多人的電腦是幾乎不設(shè)防的,很容易被遠程攻擊者完全控制。你的電腦就因此成為別人砧板上的肉,別人想怎么吃就怎么吃,“肉雞”(機)一名由此而來。如何檢測自己是否成為“肉雞”注意以下幾種基本的情況:
1:QQ、MSN的異常登錄提醒 (系統(tǒng)提示上一次的登錄IP不符)
2:網(wǎng)絡(luò)游戲登錄時發(fā)現(xiàn)裝備丟失或與上次下線時的位置不符,甚至用正確的密碼無法登錄。
3:有時會突然發(fā)現(xiàn)你的鼠標不聽使喚,在你不動鼠標的時候,鼠標也會移動,并且還會點擊有關(guān)按鈕進行操作。
4:正常上網(wǎng)時,突然感覺很慢,硬盤燈在閃爍,就象你平時在COPY文件。
5:當你準備使用攝像頭時,系統(tǒng)提示,該設(shè)備正在使用中。
6:在你沒有使用網(wǎng)絡(luò)資源時,你發(fā)現(xiàn)網(wǎng)卡燈在不停閃爍。如果你設(shè)定為連接后顯示狀態(tài),你還會發(fā)現(xiàn)屏幕右下角的網(wǎng)卡圖標在閃。
7:服務(wù)列隊中出可疑程服務(wù)。
8:寬帶連接的用戶在硬件打開后未連接時收到不正常數(shù)據(jù)包。(可能有程序后臺連接)
9:防火墻失去對一些端口的控制。
10:上網(wǎng)過程中計算機重啟。
11:有些程序如殺毒軟件防火墻卸載時出現(xiàn)閃屏(卸載界面一閃而過,然后報告完成。)
12:一些用戶信任并經(jīng)常使用的程序(QQ`殺毒)卸載后。目錄文仍然存在,刪除后自動生成。
13:電腦運行過程中或者開機的時候彈出莫名其妙的對話框
以上現(xiàn)象,基本是主觀感覺,并不十分準確,但需要提醒您注意。
接下來,我們可以借助一些軟件來觀察網(wǎng)絡(luò)活動情況,以檢查系統(tǒng)是否被入侵。
1.注意檢查防火墻軟件的工作狀態(tài)
比如金山網(wǎng)鏢。在網(wǎng)絡(luò)狀態(tài)頁,會顯示當前正在活動的網(wǎng)絡(luò)連接,仔細查看相關(guān)連接。如果發(fā)現(xiàn)自己根本沒有使用的軟件在連接到遠程計算機,就要小心了。
2.推薦使用tcpview,可以非常清晰的查看當前網(wǎng)絡(luò)的活動狀態(tài)。
一般的木馬連接,是可以通過這個工具查看到結(jié)果的。
這里說一般的木馬連接,是區(qū)別于某些精心構(gòu)造的rootkit木馬采用更高明的隱藏技術(shù),不易被發(fā)現(xiàn)的情況。
3.使用金山清理專家進行在線診斷,特別注意全面診斷的進程項
清理專家會對每一項進行安全評估,當遇到未知項時,需要特別小心。
4.清理專家百寶箱的進程管理器
可以查找可疑文件,幫你簡單的檢查危險程序所在 如何避免自己的電腦成為“肉雞”1.關(guān)閉高危端口:
第一步,點擊“開始”菜單/設(shè)置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創(chuàng)建 IP 安全策略”,于是彈出一個向?qū)?。在向?qū)е悬c擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應(yīng)規(guī)則”左邊的鉤去掉,點擊“完成”按鈕就創(chuàng)建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加向?qū)?rdquo;左邊的鉤去掉,然后單擊“添加”按鈕添加新的規(guī)則,隨后彈出“新規(guī)則屬性 ”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向?qū)?rdquo;左邊的鉤去掉,然后再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協(xié)議”選項卡,在“選擇協(xié)議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕(如左圖),這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。
點擊“確定”后回到篩選器列表的對話框,可以看到已經(jīng)添加了一條策略,重復以上步驟繼續(xù)添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,為它們建立相應(yīng)的篩選器。
重復以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最后點擊“確定”按鈕。
第四步,在“新規(guī)則屬性”對話框中,選擇“新 IP 篩選器列表”,然后點擊其左邊的圓圈上加一個點,表示已經(jīng)激活,最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加向?qū)?rdquo;左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作(右圖):在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然后點擊“確定”按鈕。
第五步,進入“新規(guī)則屬性”對話框,點擊“新篩選器操作”,
其左邊的圓圈會加了一個點,表示已經(jīng)激活,點擊“關(guān)閉”按鈕,關(guān)閉對話框;最后回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關(guān)閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然后選擇“指派”。
重新啟動后,電腦中上述網(wǎng)絡(luò)端口就被關(guān)閉了,病毒和黑客再也不能連上這些端口,從而保護了你的電腦。
2.及時打補丁 即升級殺毒軟件
肉雞捕獵者一般都是用“灰鴿子”病毒操控你的電腦,建議用灰鴿子專殺軟件殺除病毒。
3.經(jīng)常檢查系統(tǒng)
經(jīng)常檢查自己計算機上的殺毒軟件,防火墻的目錄,服務(wù),注冊表等相關(guān)項。
黑客經(jīng)常利用用戶對它們的信任將木馬隱藏或植入這些程序,對別人的電腦進行“肉雞”遠程攻擊。
警惕出現(xiàn)在這些目錄里的系統(tǒng)屬性的DLL。(可能被用來DLL劫持)
警惕出現(xiàn)在磁盤根的pagefile.sys.(該文件本是虛擬頁面交換文件。也可被用來隱藏文件。要檢查系統(tǒng)的頁面文件的盤符是否和它們對應(yīng)) “肉雞”“肉雞”遠程攻擊后的自救方法一、正在上網(wǎng)的
用戶,發(fā)現(xiàn)異常應(yīng)首先馬上斷開連接
如果你發(fā)現(xiàn)IE經(jīng)常詢問是你是否運行某些ActiveX控件,或是生成莫名其妙的文件、詢問調(diào)試腳本什么的,一定要警惕了,你可能已經(jīng)中招了。典型的上網(wǎng)被入侵有兩種情況:
一是瀏覽某些帶惡意代碼的網(wǎng)頁時候被修改了瀏覽器的默認主頁或是標題,這算是輕的;還有就是遇到可以格式化硬盤或是令你的Windows不斷打開窗口,直到耗盡資源死機——這種情況惡劣得多,你未保存和已經(jīng)放在硬盤上的數(shù)據(jù)都可能會受到部分或全部的損失。
二是潛在的木馬發(fā)作,或是蠕蟲類病毒發(fā)作,讓你的機器不斷地向外界發(fā)送你的隱私,或是利用你的名義和郵件地址發(fā)送垃圾,進一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除破壞你的文件。
自救措施:馬上斷開連接,這樣在自己的損失降低的同時,也避免了病毒向更多的在線電腦傳播。請先不要馬上重新啟動系統(tǒng)或是關(guān)機,進一步的處理措施請參看后文。
二、中毒后,應(yīng)馬上備份、轉(zhuǎn)移文檔和郵件等
被“肉雞”遠程攻擊后運行殺毒軟件殺毒是理所當然的了,但為了防止殺毒軟件誤殺或是刪掉你還未處理完的文檔和重要的郵件,你應(yīng)該首先將它們備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在Windows下備份,所以上文筆者建議你先不要退出Windows,因為病毒一旦發(fā)作,可能就不能進入 Windows了。
不管這些文件是否帶毒,你都應(yīng)該備份,用標簽紙標記為“待查”即可。因為有些病毒是專門針對某個殺毒軟件設(shè)計的,一運行就會破壞其他文件,所以先備份是防患于未然的措施。等你清除完硬盤內(nèi)的病毒后,再來慢慢分析處理這些額外備份的文件較為妥善。
三、需要在Windows下先運行一下殺CIH的軟件(即使是帶毒環(huán)境)
如果是發(fā)現(xiàn)了CIH病毒,要注意不能完全按平時報刊和手冊建議的措施,即先關(guān)機、冷啟動后用系統(tǒng)盤來引導再殺毒,而應(yīng)在帶毒的環(huán)境下也運行一次專殺CIH的軟件。這樣做,殺毒軟件可能會報告某些文件受讀寫保護無法清理,但帶毒運行的實際目的不在于完全清除病毒,而是在于把CIH下次開機時候的破壞減到最低,以防它在再次開機時破壞主板的BIOS硬件,導致黑屏,讓你下一步的殺毒工作無法進行。
四、需要干凈的DOS啟動盤和DOS下面的殺毒軟件
到現(xiàn)在,就應(yīng)該按很多殺毒軟件的標準手冊去按部就班地做。即關(guān)機后冷啟動,用一張干凈的DOS啟動盤引導;另外由于中毒后可能Windows已經(jīng)被破壞了部分關(guān)鍵文件,會頻繁地報告非法操作,所以 Windows下的殺毒軟件可能會無法運行。所以請你也準備一個DOS下面的殺毒軟件以防萬一。
即使能在Windows下運行殺毒軟件,也請用兩種以上工具交叉清理。在多數(shù)情況下Windows可能要重裝,因為病毒會破壞掉一部分文件讓系統(tǒng)變慢或出現(xiàn)頻繁的非法操作。比如即使殺了CIH,微軟的 Outlook郵件程序也是反應(yīng)較慢的。建議不要對某種殺毒軟件帶偏見,由于開發(fā)時候側(cè)重點不同、使用的殺毒引擎不同,各種殺毒軟件都是有自己的長處和短處的,交叉使用效果較理想。
五、如果有Ghost和分區(qū)表、引導區(qū)的備份,用之來恢復一次最保險
如果你在平時用Ghost備份做了Windows的,用之來鏡像一次,得到的操作系統(tǒng)是最保險的。這樣連潛在的未殺光的木馬程序也順便清理了。當然,這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也“備份”了就后患無窮了。
六、再次恢復系統(tǒng)后,更改你的網(wǎng)絡(luò)相關(guān)密碼
包括登錄網(wǎng)絡(luò)的用戶名、密碼,郵箱的密碼和QQ的密碼等,防止黑客用上次入侵過程中得到的密碼進入你的系統(tǒng)。另外因為很多蠕蟲病毒發(fā)作會向外隨機發(fā)送你的信息,所以及時地更改是必要的。電腦肉雞的商業(yè)價值
1.盜竊“肉雞”遠程攻擊的電腦的虛擬財產(chǎn)
虛擬財產(chǎn)有:網(wǎng)絡(luò)游戲ID帳號裝備、QQ號里的Q幣、聯(lián)眾的虛擬榮譽值等等。虛擬財產(chǎn),是可以兌現(xiàn)為真實貨幣的,多少不限,積累起來就是財富。
2.盜竊被“肉雞”遠程攻擊的電腦真實財產(chǎn)
真實財產(chǎn)包括:網(wǎng)上銀行,大眾版可以進行小額支付,一旦你的網(wǎng)銀帳號被盜,最多見的就是要為別人的消費買單了。此外,還有網(wǎng)上炒股,證券大盜之類的木馬不少,攻擊者可以輕易獲得網(wǎng)上炒股的帳號,和銀行交易不同的是,攻擊者不能利用偷來的炒股帳號直接獲益,這是由股票交易的特殊性決定的。不然,網(wǎng)上炒股一定會成為股民的噩夢。
相當多的普通電腦用戶不敢使用網(wǎng)上銀行,原因就是不了解該怎樣保護網(wǎng)上銀行的帳號安全。事實上,網(wǎng)上銀行的安全性比網(wǎng)上炒股強很多。正確使用網(wǎng)上銀行,安全性和便利性都是有保障的。
3.盜竊他人的隱私數(shù)據(jù)
陳冠希事件,相信大家都知道,如果普通人的隱密照片、文檔被發(fā)布在互聯(lián)網(wǎng)上,后果將會十分嚴重。利用偷來的受害人隱私信息進行詐騙、勒索的案例不少。
還有攻擊者熱衷于遠程控制別人的攝像頭,滿足偷窺他人隱私的邪惡目的。
如果偷到受害人電腦上的商業(yè)信息,比如財務(wù)報表、人事檔案,攻擊者都可以謀取非法利益。
4.可利用受害人的人脈關(guān)系獲取非法利益
你或許認為你的QQ號無足輕重,也沒QQ秀,也沒Q幣。實際上并非如此,你的QQ好友,你的Email聯(lián)系人,手機聯(lián)系人,都是攻擊者的目標,攻擊者可以偽裝成你的身份進行各種不法活動,每個人的人脈關(guān)系都是有商業(yè)價值的。
最常見的例子就是12590利用偷來的QQ號群發(fā)垃圾消息騙錢,還有MSN病毒,自動給你的聯(lián)系人發(fā)消息騙取非法利益。
5.在“肉雞”遠程攻擊的電腦上種植流氓軟件,自動點擊廣告獲利
這種情況下,會影響你的上網(wǎng)體驗,相信所有人都很討厭電腦自動彈出的廣告。攻擊者在控制大量肉雞之后,可以通過強行彈出廣告,從廣告主那里收獲廣告費,流氓軟件泛濫的原因之一,就是很多企業(yè)購買流氓軟件開發(fā)者的廣告。
還有的攻擊者,通過“肉雞”遠程攻擊的電腦后臺偷偷點擊廣告獲利,當然,受損的就是“肉雞”電腦了。
6.以“肉雞”電腦為跳板(代理服務(wù)器)對其它電腦發(fā)起攻擊
黑客的任何攻擊行為都可能留下痕跡,為了更好的隱藏自己,必然要經(jīng)過多次代理的跳轉(zhuǎn),“肉雞”電腦充當了中介和替罪羊。攻擊者為傳播更多的木馬,也許會把你的電腦當做木馬下載站。網(wǎng)速快,機器性能好的電腦被用作代理服務(wù)器的可能性更大。
7.“肉雞”電腦是發(fā)起DDoS攻擊的馬前卒
DDoS,你可以理解為網(wǎng)絡(luò)黑幫或網(wǎng)絡(luò)戰(zhàn)爭,戰(zhàn)爭的發(fā)起者是可以獲取收益的,有人會收購這些網(wǎng)絡(luò)打手。這些網(wǎng)絡(luò)黑幫成員,也可以直接對目標主機進行攻擊,然后敲詐勒索。“肉雞”遠程攻擊電腦,就是這些網(wǎng)絡(luò)黑幫手里的一個棋子,DDoS攻擊行為已經(jīng)是網(wǎng)絡(luò)毒瘤。
總之,“肉雞”遠程攻擊的電腦是攻擊者致富的源泉,在攻擊者的圈子里,“肉雞”遠程攻擊的電腦就象白菜一樣被賣來賣去