防止成為網(wǎng)絡肉雞1

什么是肉雞所謂電腦肉雞，就是擁有管理權限的遠程電腦。也就是受別人控制的遠程電腦。肉雞可以是各種系統(tǒng),如win,linu,unix等；更可以是一家公司\企業(yè)\學校甚至是政府軍隊的服務器，一般所說的肉雞是一臺開了3389端口的Win2K系統(tǒng)的服務器，所以3389端口沒必要開時關上最好。肉雞一般被黑客以0.08、0.1元到30元不等價格出售。要登陸肉雞，必須知道3個參數(shù)：遠程電腦的！￡、用戶名、密碼。說到肉雞，就要講到遠程控制。遠程控制軟件例如灰鴿子、上興等。肉雞不是吃的那種，是中了木馬，或者留了后門，可以被遠程操控的機器，現(xiàn)在許多人把有WEBSHELL權限的機器也叫肉雞。誰都不希望自己的電腦被他人控制，但是很多人的電腦是幾乎不設防的，很容易被遠程攻擊者完全控制。你的電腦就因此成為別人砧板上的肉，別人想怎么吃就怎么吃，肉雞（機）一名由此而來。如何檢測自己是否成為肉雞注意以下幾種基本的情況：1:QQ、MSN的異常登錄提醒2:網(wǎng)絡游戲登錄時發(fā)現(xiàn)裝備丟如何檢測自己是否成為肉雞注意以下幾種基本的情況：1:QQ、MSN的異常登錄提醒2:網(wǎng)絡游戲登錄時發(fā)現(xiàn)裝備丟碼無法登錄。3:有時會突然發(fā)現(xiàn)你的鼠標不并且還會點擊有關按鈕進行操作。4:正常上網(wǎng)時，突然感覺很慢5:當你準備使用攝像頭時，系6:在你沒有使用網(wǎng)絡資源時，（系統(tǒng)提示上一次的登錄IP不符）失或與上次下線時的位置不符，甚至用正確的密聽使喚，在你不動鼠標的時候，鼠標也會移動，，硬盤燈在閃爍，就像你平時在統(tǒng)提示，該設備正在使用中。你發(fā)現(xiàn)網(wǎng)卡燈在不停閃爍。如果COPY文件。你設定為連接后顯示狀態(tài)，你還會發(fā)現(xiàn)屏幕右下角的網(wǎng)卡圖標在閃。7:服務列隊中出可疑程服務。（可能有程序后8:寬帶連接的用戶在硬件打開后未連接時收到不正常數(shù)據(jù)包。臺連接）（可能有程序后9:防火墻失去對一些端口的控制。10:上網(wǎng)過程中計算機重啟。11:有些程序如殺毒軟件防火墻卸載時出現(xiàn)閃屏（卸載界面一閃而過，然后報告完成。）12:一些用戶信任并經(jīng)常使用的程序（QQ'殺毒）卸載后。目錄文仍然存在，刪除后自動生成。13:電腦運行過程中或者開機的時候彈出莫名其妙的對話框確，但需要提醒您注意。-AN確，但需要提醒您注意。-AN查看是否有可疑端口等絡活動情況，以檢查系統(tǒng)是否被入侵。14:還可以通過CMD下輸入NETSTAT接下來，我們可以借助一些軟件來觀察網(wǎng)注意檢查防火墻軟件的工作狀態(tài)比如金山網(wǎng)鏢。在網(wǎng)絡狀態(tài)頁，會顯示當前正在活動的網(wǎng)絡連接，仔細查看相關連接。如果發(fā)現(xiàn)自己根本沒有使用的軟件在連接到遠程計算機，就要小心了。推薦使用tcpview，可以非常清晰的查看當前網(wǎng)絡的活動狀態(tài)。一般的木馬連接，是可以通過這個工具查看到結果的。這里說一般的木馬連接，是區(qū)別于某些精心構造的rootkit木馬采用更高明的隱藏技術，不易被發(fā)現(xiàn)的情況。使用金山清理專家進行在線診斷，特別注意全面診斷的進程項清理專家會對每一項進行安全評估，當遇到未知項時，需要特別小心。清理專家百寶箱的進程管理器可以查找可疑文件，幫你簡單的檢查危險程序所在。如何避免自己的電腦成為“肉雞”1.關閉高危端口:第一步，點擊“開始”菜單/設置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP安全策略，在本地計算機”，在右邊窗格的空白位置右擊鼠標，彈出快捷菜單，選擇“創(chuàng)建IP安全策略”，于是彈出一個向導。在向導中點擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認相應規(guī)則”左邊的鉤去掉，點擊“完成”按鈕就創(chuàng)建了一個新的IP安全策略。第二步，右擊該IP安全策略，在“屬性”對話框中，把“使用添加向導”左邊的鉤去掉，然后單擊“添加”按鈕添加新的規(guī)則，隨后彈出“新規(guī)則屬性”對話框，在畫面上點擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向導”左邊的鉤去掉，然后再點擊右邊的“添加”按鈕添加新的篩選器。第三步，進入“篩選器屬性”對話框，首先看到的是尋址，源地址選“任何IP地址”，目標地址選“我的IP地址”；點擊“協(xié)議”選項卡，在“選擇協(xié)議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，點擊“確定”按鈕（如左圖），這樣就添加了一個屏蔽TCP135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。點擊“確定”后回到篩選器列表的對話框，可以看到已經(jīng)添加了一條策略，重復以上步驟繼續(xù)添加TCP137、139、445、593端口和UDP135、139、445端口，為它們建立相應的篩選器。重復以上步驟添加TCE1025、2745、3127、6129、3389端旦的屏蔽策略，建立好上述端口的篩選器，最后點擊“確定”按鈕。第四步，在“新規(guī)則屬性”對話框中，選擇“新IP篩選器列表”，然后點擊其左邊的圓圈上加一個點，表示已經(jīng)激活，最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中，把“使用添加向導”左邊的鉤去掉，點擊“添加”按鈕，添加“阻止”操作（右圖）：在“新篩選器操作屬性”的“安全措施”選項卡中，選擇“阻止”，然后點擊“確定”按鈕。第五步，進入“新規(guī)則屬性”對話框，點擊“新篩選器操作”，其左邊的圓圈會加了一個點，表示已經(jīng)激活，點擊“關閉”按鈕，關閉對話框；最后回到“新IP安全策略屬性”對話框，在“新的IP篩選器列表”左邊打鉤，按“確定”按鈕關閉對話框。在“本地安全策略”窗口，用鼠標右擊新添加的IP安全策略，然后選擇“指派”。重新啟動后，電腦中上述網(wǎng)絡端口就被關閉了，病毒和黑客再也不能連上這些端口，從而保護了你的電腦。及時打補丁即升級殺毒軟件肉雞捕獵者一般都是用“灰鴿子”病毒操控你的電腦，建議用灰鴿子專殺軟件殺除病毒。經(jīng)常檢查系統(tǒng)經(jīng)常檢查自己計算機上的殺毒軟件，防火墻的目錄，服務，注冊表等相關項。黑客經(jīng)常利用用戶對它們的信任將木馬隱藏或植入這些程序。警惕出現(xiàn)在這些目錄里的系統(tǒng)屬性的DLL。（可能被用來DLL劫持）警惕出現(xiàn)在磁盤根的pagefile.sys.（該文件本是虛擬頁面交換文件。也可被用來隱藏文件。要檢查系統(tǒng)的頁面文件的盤符是否和它們對應）盜版WindowsXP存在巨大風險如果你的操作系統(tǒng)是其它技術人員安裝，或者有可能是盜版XP，比如電腦裝機商的**版本，蕃茄花園XP，雨木林風XP，龍卷風XP等。這樣的系統(tǒng)，很多是無人值守安裝的。安裝步驟非常簡單，你把光盤放進電腦，出去喝茶，回來就可能發(fā)現(xiàn)系統(tǒng)已經(jīng)安裝完畢。這樣的系統(tǒng)，最大的缺陷在哪兒呢？再明白不過，這種系統(tǒng)的管理員口令是空的，并且自動登錄。也就是說，任何人都可以嘗試用空口令登錄你的系統(tǒng)，距離對于互聯(lián)網(wǎng)來說，根本不是障礙。小心使用移動存儲設備在互聯(lián)網(wǎng)發(fā)展起來之前，病毒的傳播是依賴于軟磁盤的，其后讓位于網(wǎng)絡。現(xiàn)在，公眾越來越頻繁的使用移動存儲設備（移動硬盤、U盤、數(shù)碼存儲卡）傳遞文件，這些移動存儲設備成為木馬傳播的重要通道。計算機用戶通常把這樣的病毒稱為[1][2][3]U盤病毒或AUTO病毒。意思是插入U盤這個動作，就能讓病毒從一個U盤傳播到另一臺電腦。安全上網(wǎng)成為肉雞很重要的原因之一是瀏覽不安全的網(wǎng)站，區(qū)分什么網(wǎng)站安全，什么網(wǎng)站不安全，這對普通用戶來說，是很困難的。并且還存在原來正常的網(wǎng)站被入侵植入木馬的可能性，也有被ARP攻擊之后，訪問任何網(wǎng)頁都下載木馬的風險。上網(wǎng)下載木馬的機會總是有的，誰都無法避免，只能減輕這種風險。瀏覽器的安全性需要得到特別關注，瀏覽器和瀏覽器插件的漏洞是黑客們的最愛，flashplayer漏洞就是插件漏洞，這種漏洞是跨瀏覽器平臺的，任何使用flashplayer的場合都可能存在這種風險。成為肉雞后的自救方法一、正在上網(wǎng)的用戶，發(fā)現(xiàn)異常應首先馬上斷開連接如果你發(fā)現(xiàn)IE經(jīng)常詢問是你是否運行某些ActiveX控件，或是生成莫名其妙的文件、詢問調(diào)試腳本什么的，一定要警惕了，你可能已經(jīng)中招了。典型的上網(wǎng)被入侵有兩種情況：一是瀏覽某些帶惡意代碼的網(wǎng)頁時候被修改了瀏覽器的默認主頁或是標題，這算是輕的；還有就是遇到可以格式化硬盤或是令你的Windows不斷打開窗口，直到耗盡資源死機一這種情況惡劣得多，你未保存和已經(jīng)放在硬盤上的數(shù)據(jù)都可能會受到部分或全部的損失。二是潛在的木馬發(fā)作，或是蠕蟲類病毒發(fā)作，讓你的機器不斷地向外界發(fā)送你的隱私，或是利用你的名義和郵件地址發(fā)送垃圾，進一步傳播病毒；還有就是黑客的手工入侵，窺探你的隱私或是刪除破壞你的文件。自救措施：馬上斷開連接，這樣在自己的損失降低的同時，也避免了病毒向更多的在線電腦傳播。請先不要馬上重新啟動系統(tǒng)或是關機，進一步的處理措施請參看后文。二、中毒后，應馬上備份、轉移文檔和郵件等中毒后運行殺毒軟件殺毒是理所當然的了，但為了防止殺毒軟件誤殺或是刪掉你還未處理完的文檔和重要的郵件，你應該首先將它們備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在Windows下備份，所以上文筆者建議你先不要退出Windows，因為病毒一旦發(fā)作，可能就不能進入Windows了。不管這些文件是否帶毒，你都應該備份，用標簽紙標記為“待查”即可。因為有些病毒是專門針對某個殺毒軟件設計的，一運行就會破壞其他文件，所以先備份是防患于未然的措施。等你清除完硬盤內(nèi)的病毒后，再來慢慢分析處理這些額外備份的文件較為妥善。三、需要在Windows下先運行一下殺CIH的軟件（即使是帶毒環(huán)境）如果是發(fā)現(xiàn)了CIH病毒，要注意不能完全按平時報刊和手冊建議的措施，即先關機、冷啟動后用系統(tǒng)盤來引導再殺毒，而應在帶毒的環(huán)境下也運行一次專殺CIH的軟件。這樣做，殺毒軟件可能會報告某些文件受讀寫保護無法清理，但帶毒運行的實際目的不在于完全清除病毒，而是在于把CIH下次開機時候的破壞減到最低，以防它在再次開機時破壞主板的BIOS硬件，導致黑屏，讓你下一步的殺毒工作無法進行。四、需要干凈的DOS啟動盤和DOS下面的殺毒軟件到現(xiàn)在，就應該按很多殺毒軟件的標準手冊去按部就班地做。即關機后冷啟動，用一張干凈的DOS啟動盤引導；另外由于中毒后可能Windows已經(jīng)被破壞了部分關鍵文件，會頻繁地報告非法操作，所以Windows下的殺毒軟件可能會無法運行。所以請你也準備一個DOS下面的殺毒軟件以防萬一。即使能在Windows下運行殺毒軟件，也請用兩種以上工具交叉清理。在多數(shù)情況下Windows可能要重裝，因為病毒會破壞掉一部分文件讓系統(tǒng)變慢或出現(xiàn)頻繁的非法操作。比如即使殺了CIH，微軟的Outlook郵件程序也是反應較慢的。建議不要對某種殺毒軟件帶偏見，由于開發(fā)時候側重點不同、使用的殺毒引擎不同，各種殺毒軟件都是有自己的長處和短處的，交叉使用效果較理想。五、如果有Ghost和分區(qū)表、引導區(qū)的備份，用