肉雞也稱傀儡機,是指可以被黑客遠程控制的機器。比如用"灰鴿子"等誘導客戶點擊或者電腦被黑客攻破或用戶電腦有漏洞被種植了木馬,黑客可以隨意操縱它并利用它做任何事情。
肉雞通常被用作DDOS攻擊。可以是各種系統,如Windows、Linux、unix等,更可以是一家公司、企業、學校甚至是政府軍隊的服務器。
內容簡介
所謂電腦肉雞,就是擁有管理權限的遠程電腦,也就是受黑客遠程控制的電腦。
肉雞一般被黑客以0.08、0.1元到30元不等價格出售。
要登陸肉雞,必須知道3個參數:遠程電腦的IP、用戶名、密碼。說到肉雞,就要講到遠程控制。遠程控制軟件例如灰斑鳩、上興等。
肉雞不是吃的那種,是中了木馬,或者留了后門,可以被遠程操控的機器,許多人把有WEBSHELL權限的機器也叫肉雞。
誰都不希望自己的電腦被他人遠程控制,但是很多人的電腦是幾乎不設防的,很容易被遠程攻擊者完全控制。你的電腦就因此成為別人砧板上的肉,別人想怎么吃就怎么吃,肉雞(機)一名由此而來。
如何自救
斷網
正在上網的用戶,發現異常應首先馬上斷開連接。
如果你發現IE經常詢問是你是否運行某些ActiveX控件,或是生成莫名其妙的文件、詢問調試腳本什么的,一定要警惕了,你可能已經中招了。典型的上網被入侵有兩種情況:
(1)瀏覽某些帶惡意代碼的網頁時候被修改了瀏覽器的默認主頁或是標題,這算是輕的;還有就是遇到可以格式化HDD或是令你的Windows不斷打開窗口,直到耗盡資源死機——這種情況惡劣得多,你未保存和已經放在硬盤上的數據都可能會受到部分或全部的損失。
(2)潛在的木馬發作,或是植物病原線蟲類病毒發作,讓你的機器不斷地向外界發送你的隱私,或是利用你的名義和郵件地址發送垃圾,進一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除破壞你的文件。
自救措施
馬上斷開連接,這樣在自己的損失降低的同時,也避免了病毒向更多的在線電腦傳播。請先不要馬上重新啟動系統或是關機,進一步的處理措施請參看后文。
中毒后,應馬上備份、轉移文檔和郵件等。
中毒后運行殺毒軟件殺毒是理所當然的了,但為了防止殺毒軟件誤殺或是刪掉你還未處理完的文檔和重要的郵件,你應該首先將它們備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在Windows下備份,所以上文筆者建議你先不要退出Windows,因為病毒一旦發作,可能就不能進入Windows了。
不管這些文件是否帶毒,你都應該備份,用標簽紙標記為“待查”即可。因為有些病毒是專門針對某個殺毒軟件設計的,一運行就會破壞其他文件,所以先備份是防患于未然的措施。等你清除完HDD內的病毒后,再來慢慢分析處理這些額外備份的文件較為妥善。
查殺病毒
1.需要在Windows下先運行一下殺CIH的軟件(即使是帶毒環境)。
如果是發現了CIH病毒,要注意不能完全按平時報刊和手冊建議的措施,即先關機、冷啟動后用系統盤來引導再殺毒,而應在帶毒的環境下也運行一次專殺CIH的軟件。這樣做,殺毒軟件可能會報告某些文件受讀寫保護無法清理,但帶毒運行的實際目的不在于完全清除病毒,而是在于把CIH下次開機時候的破壞減到最低,以防它在再次開機時破壞主板的BIOS硬件,導致黑屏,讓你下一步的殺毒工作無法進行。
2.需要干凈的dos啟動盤和DOS下面的殺毒軟件。
就應該按很多殺毒軟件的標準手冊去按部就班地做。即關機后冷啟動,用一張干凈的DOS啟動盤引導;另外由于中毒后可能Windows已經被破壞了部分關鍵文件,會頻繁地報告非法操作,所以Windows下的殺毒軟件可能會無法運行。所以請你也準備一個DOS下面的殺毒軟件以防萬一。不過標準的DOS系統是不能訪問NTFS格式的硬盤分區。
即使能在Windows下運行殺毒軟件,也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝,因為病毒會破壞掉一部分文件讓系統變慢或出現頻繁的非法操作。比如即使殺了CIH,微軟的Outlook郵件程序也是反應較慢的。建議不要對某種殺毒軟件帶偏見,由于開發時候側重點不同、使用的殺毒引擎不同,各種殺毒軟件都是有自己的長處和短處的,交叉使用效果較理想。
恢復操作系統
如果有ghost和分區表、引導區的備份,用之來恢復一次最保險。
如果你在平時用Ghost備份做了Windows的,用之來鏡像一次,得到的操作系統是最保險的。這樣連潛在的未殺光的木馬程序也順便清理了。當然,這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也“備份”了就后患無窮了。
再次恢復系統后,更改你的網絡相關密碼,包括登錄網絡的用戶名、密碼,郵箱的密碼和QQ的密碼等,防止黑客用上次入侵過程中得到的密碼進入你的系統。另外因為很多植物病原線蟲病毒發作會向外隨機發送你的信息,所以及時地更改是必要的。
檢測注意
注意以下幾種基本的情況:
1:QQ、MSN的異常登錄提醒(系統提示上一次的登錄IP不符)
2:網絡游戲登錄時發現裝備丟失或與上次下線時的位置不符,甚至用正確的密碼無法登錄。
3:有時會突然發現你的鼠標不聽使喚,在你不動鼠標的時候,鼠標也會移動,并且還會點擊有關按鈕進行操作。
4:正常上網時,突然感覺很慢,HDD燈在閃爍,就像你平時在COPY文件。
5:當你準備使用攝像頭時,系統提示,該設備正在使用中。
6:在你沒有使用網絡資源時,你發現網卡燈在不停閃爍。如果你設定為連接后顯示狀態,你還會發現屏幕右下角的網卡圖標在閃。
7:服務列隊中出可疑程服務。
8:寬帶連接的用戶在硬件打開后未連接時收到不正常數據包。(可能有程序后臺連接)
9:防火墻失去對一些端口的控制。
10:上網過程中計算機重啟。
11:有些程序如殺毒軟件防火墻卸載時出現閃屏(卸載界面一閃而過,然后報告完成。)
12:一些用戶信任并經常使用的程序(QQ`殺毒)卸載后。目錄文仍然存在,刪除后自動生成。
13:電腦運行過程中或者開機的時候彈出莫名其妙的對話框
以上現象,基本是主觀感覺,并不十分準確,但需要提醒您注意。
14:還可以通過CMD下輸入 NETSTAT -AN 查看是否有可疑端口等
接下來,可以借助一些軟件來觀察網絡活動情況,以檢查系統是否被入侵。
1.注意檢查防火墻軟件的工作狀態
使用一些能查看網絡連接的軟件。在網絡狀態頁,會顯示當前正在活動的網絡連接,仔細查看相關連接。如果發現自己根本沒有使用的軟件在連接到遠程計算機,就要小心了。
2.推薦使用tcpview,可以非常清晰的查看當前網絡的活動狀態。
一般的木馬連接,是可以通過這個工具查看到結果的。
這里說一般的木馬連接,是區別于某些精心構造的rootkit木馬采用更高明的隱藏技術,不易被發現的情況。
3.使用殺毒軟件進行在線診斷,特別注意全面診斷的進程項。
清理專家會對每一項進行安全評估,當遇到未知項時,需要特別小心。
4.清理專家百寶箱的進程管理器
可以查找可疑文件,幫你簡單的檢查危險程序所在。
如何避免
1.關閉高危端口
第一步,點擊“開始”菜單/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”,于是彈出一個向導。在向導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加向導”左邊的鉤去掉,然后單擊“添加”按鈕添加新的規則,隨后彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向導”左邊的鉤去掉,然后再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕(如左圖),這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。
點擊“確定”后回到篩選器列表的對話框,可以看到已經添加了一條策略,重復以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,為它們建立相應的篩選器。
重復以上步驟添加TCP1025、2745、3127、6129、3389端口的屏蔽策略,建立好上述端口的篩選器,最后點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP篩選器列表”,然后點擊其左邊的圓圈上加一個點,表示已經激活,最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加向導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作(右圖):然后點擊“確定”按鈕。
第五步,進入“新規則屬性”對話框,點擊“新篩選器操作”,
其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最后回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然后選擇“指派”。
重新啟動后,電腦中上述網絡端口就被關閉了,病毒和黑客再也不能連上這些端口,從而保護了你的電腦。
2.及時打補丁
肉雞捕獵者一般都是用“灰斑鳩”病毒操控你的電腦,建議用灰鴿子專殺軟件殺除病毒。
3.經常檢查系統
經常檢查自己計算機上的殺毒軟件,防火墻的目錄,服務,注冊表等相關項。
黑客經常利用用戶對它們的信任將木馬隱藏或植入這些程序。
警惕出現在這些目錄里的系統屬性的DLL。(可能被用來DLL劫持)
警惕出現在磁盤根的pagefile.sys.(該文件本是虛擬頁面交換文件。也可被用來隱藏文件。要檢查系統的頁面文件的盤符是否和它們對應)
4.盜版系統存在風險
如果你的操作系統是其它技術人員安裝,或者有可能是盜版XP,比如電腦裝機商的**版本,蕃茄花園XP,雨木林風XP,龍卷風XP等。這樣的系統,很多是無人值守安裝的。安裝步驟非常簡單,你把光盤放進電腦,出去喝茶,回來就可能發現系統已經安裝完畢。
這樣的系統,最大的缺陷在哪兒呢?再明白不過,這種系統的管理員口令是空的,并且自動登錄。也就是說,任何人都可以嘗試用空口令登錄你的系統,距離對于互聯網來說,根本不是障礙。
5.移動存儲設備
在互聯網發展起來之前,病毒的傳播是依賴于FD的,其后讓位于網絡。公眾越來越頻繁的使用移動存儲設備(移動硬盤、U盤、數碼存儲卡)傳遞文件,這些移動存儲設備成為木馬傳播的重要通道。計算機用戶通常把這樣的病毒稱為U盤病毒或AUTO病毒。意思是插入U盤這個動作,就能讓病毒從一個U盤傳播到 另一臺電腦。
6.安全上網
成為肉雞很重要的原因之一是瀏覽不安全的網站,區分什么網站安全,什么網站不安全,這對普通用戶來說,是很困難的。并且還存在原來正常的網站被入侵植入木馬的可能性,也有被ARP攻擊之后,訪問任何網頁都下載木馬的風險。
上網下載木馬的機會總是有的,誰都無法避免,只能減輕這種風險。
瀏覽器的安全性需要得到特別關注,瀏覽器和瀏覽器插件的漏洞是黑客們的最愛,flash player漏洞就是插件漏洞,這種漏洞是跨瀏覽器平臺的,任何使用flash player的場合都可能存在這種風險。
商業價值
1.盜竊虛擬財產
虛擬財產有:網絡游戲ID帳號裝備、QQ號里的Q幣、聯眾游戲的虛擬榮譽值等等。虛擬財產,是可以兌現為真實貨幣的,多少不限,積累起來就是財富。
2.盜竊真實財產
真實財產包括:網上銀行,大眾版可以進行小額支付,一旦你的網銀帳號被盜,最多見的就是要為別人的消費買單了。此外,還有網上炒股,證券大盜之類的木馬不少,攻擊者可以輕易獲得網上炒股的帳號,和銀行交易不同的是,攻擊者不能利用偷來的炒股帳號直接獲益,這是由股票交易的特殊性決定的。不然,網上炒股一定會成為股民的噩夢。
相當多的普通電腦用戶不敢使用網上銀行,原因就是不了解該怎樣保護網上銀行的帳號安全。事實上,網上銀行的安全性比網上炒股強很多。正確使用網上銀行,安全性和便利性都是有保障的。
3.盜竊他人的隱私數據
陳冠希事件,相信大家都知道,如果普通人的隱密照片、文檔被發布在互聯網上,后果將會十分嚴重。利用偷來的受害人隱私信息進行詐騙、勒索的案例不少。
還有攻擊者熱衷于遠程控制別人的攝像頭,滿足偷窺他人隱私的邪惡目的。
如果偷到受害人電腦上的商業信息,比如財務報表、人事檔案,攻擊者都可以謀取非法利益。
4.非法獲利
你或許認為你的QQ號無足輕重,也沒QQ秀,也沒Q幣。實際上并非如此,你的QQ好友,你的Email聯系人,手機聯系人,都是攻擊者的目標,攻擊者可以偽裝成你的身份進行各種不法活動,每個人的人脈關系都是有商業價值的。
最常見的例子就是12590利用偷來的QQ號群發垃圾消息騙錢,還有MSN病毒,自動給你的聯系人發消息騙取非法利益。
5.種植流氓軟件
這種情況下,會影響你的上網體驗,相信所有人都很討厭電腦自動彈出的廣告。攻擊者在控制大量肉雞之后,可以通過強行彈出廣告,從廣告主那里收獲廣告費,流氓軟件泛濫的原因之一,就是很多企業購買流氓軟件開發者的廣告。
還有的攻擊者,通過肉雞電腦在后臺偷偷點擊廣告獲利,當然,受損的就是肉雞電腦了。
6.其它電腦發起攻擊
黑客的任何攻擊行為都可能留下痕跡,為了更好的隱藏自己,必然要經過多次代理的跳轉,肉雞電腦充當了中介和替罪羊。攻擊者為傳播更多的木馬,也許會把你的電腦當做木馬下載站。網速快,機器性能好的電腦被用作代理服務器的可能性更大。
7.發起DDoS攻擊
DDoS,你可以理解為網絡黑幫或網絡戰爭,戰爭的發起者是可以獲取收益的,有人會收購這些網絡打手。這些網絡黑幫成員,也可以直接對目標主機進行攻擊,然后敲詐勒索。“肉雞”電腦,就是這些網絡黑幫手里的一個棋子,DDoS攻擊行為已經是網絡毒瘤。
總之,“肉雞”電腦是攻擊者致富的源泉,在攻擊者的圈子里,“肉雞”電腦就象白菜一樣被賣來賣去。在黑色產業鏈的高端,這些龐大“肉雞”電腦群的控制者構筑了一個同樣龐大又黑暗的木馬帝國。
如何捕捉
1.一般XP都很難掃不出IP,先要突破一下,可以用工具是使xp支持syn掃描,運行就重啟。線程就可以達到10240,然后將每次掃描,關閉防火墻命令是"net stop sharedaccess",一般都可以掃出IP,如果還不行,換個IP段。
2.掃描環境:一般都是Windows XP,但其實掃描IP速度很慢,而且掃不多。建議抓雞最好用服務器,服務器指2003系統,因為2003系統掃描速度快,而且掃到很多IP,是很好的抓雞系統。
3.抓雞方法
135端口,先掃描135IP,然后整理!然后用NTscan,掃描弱口令,最后用Recton上傳木馬,自動運行的。因為這個漏洞很久,所以端口也很少的了。如果整理IP不好,就很難掃出弱口令。
1433端口,先掃描1433IP,然后整理!然后用X-Scan-v3.3,掃描模塊只選擇SQL-Server弱口令,然后掃出漏洞主機,再用SQLTools.exe連接,看看能不能執行DOS,如果不能就修復下,可以用“SQL查詢分析器修正分離版”,修復命令我會打包的了。
3389端口,先掃描3389IP,然后用遠程桌面連接,一個一個IP添加進入,見到XP,用戶new密碼為空進入,然后下載木馬!見到2000,用戶administrator密碼為空進入然后下載木馬!
4899端口,先掃描4899IP,然后整理!然后用4899探測器,A導入4899IP,然后開始搜索,B就是空口令的IP了,然后用Radmin,點連接到,把剛才掃到的空口令的IP添到IP地址那里,點確定,然后自己上傳馬,用DOS運行。
5900端口,用領域小組專版VNC掃描器,這個端口有些特別,不同其他的端口,所以掃IP工具也不同,掃到IP,看看有無V字開頭,然后用VNCLink連接,自己然后下載馬拉!
80端口,先掃描80IP,然后整理,再用Apache Tomcat導入IP,端口8080改為80,等IP全部導完,點開始就可以,你看看有無一些網站結尾是HTML或者很長的,就可以進入這個網,然后上傳個“hcskk.war”然后點hcskk.war進入,就可以自己下載木馬,再用DOS運行。
4.免殺木馬
抓雞一定要個免殺木馬,不然就抓不到的,先要學會免殺,那就容易抓到雞拉!不會可以先學定位,用CCM修改就OK了。
具體案例
Zombie主機廣泛用于傳發垃圾電郵,在2005年,估計有50至80%的垃圾電郵是由僵尸主機傳送。這樣發垃圾電郵的人就可以逃避偵查,甚至可以減少通訊費用,因為用的是“僵尸主機擁有人”的流量,“僵尸主機的擁有人”才要付款。這種垃圾電郵也極大促進了木馬的傳播,因為木馬不能借助自我復制傳播,只能借助垃圾電郵傳播,但是植物病原線蟲卻可以由其他方式傳播。
同理,僵尸主機可用作點擊欺騙,就是點擊那些按點擊次數付費的網絡廣告。其他則被用來充作釣魚或者錢騾招募網站的宿主。
Zombie主機可以用來進行分布式拒絕服務攻擊,就是同時利用大量計算機有組織地沖擊目標網站。大量互聯網用戶同時向網站服務器發出請求,以使網站崩潰,阻止正常用戶訪問。有一個變種稱為分布式服務惡化,是對網站的溫和反復沖擊,由僵尸主機脈沖式進行,目的是使受害網站變慢而非崩潰。這種策略之所以有效,是因為集中的沖擊可以迅速檢測、應對,但脈沖式沖擊所產生的網站速度減慢能數月甚至數年不被發現。
較為著名的攻擊有2003年針對SPEWS服務的攻擊,和2006年對藍蛙(Blue Frog)服務的攻擊。2000年,一些著名的網站(雅虎日本、易趣等等)受到加拿大的一個青少年MafiaBoy使用分布式拒絕服務攻擊而停擺。另一個對grc.com的攻擊案例也被仔細討論。該攻擊做案者,根據Gibson Research網站鑒定,大概是一位來自美國威斯康星州基諾沙的13歲少年。Gibson Research網站的史蒂夫·吉布森拆解出一個用來僵尸化電腦的“機器人”,隨后追蹤到其散播者。在威廉·吉布森的書面研究紀錄里,他描述了“機器人”控制的IRC如何運作此機器人。
參考資料 >