我爱电脑技术论坛 » 网络安全区 » 你是肉鸡吗？

小迷糊 发表于 2008-6-17 15:00

你是肉鸡吗？

说句夸张的话，现在的小学生都会上网，网上有看的、听的、玩的。。。。。海量的资讯让人目不暇接。
p6|.U$G'C 可是在风光的背后，还隐藏着许多不能告人的“坏东西”，他们就是木马病毒。6SCsO
U

Y Uaao/AfY 木马程序其实也算一种病毒，现在各种盗号木马比病毒更加流行，大量玩家的网络帐户不保，网络安全形势严峻。 ~(B!t"a;e}.G N'ld
这个文章就是让大家在教训中学习经验。　
4\:T
r!WL5N2@,g !J'yb0WL1Wq8pf
我是肉鸡吗？G J
{hn9n.kQ6f

O-L+IQ7bJu 突然想到一个问题，我会成为别人的肉鸡，不由地惊出一身冷汗。虽然通过杀毒软件可以对一些已知的病毒木马进行清除，但是随着Oday漏洞和未知木马的层出不穷，因此防范的时候还需要打一套“组合拳”才行。
q b$Z(E SRV }7n}|1^+b)Ir6Xs
第一招：查端口'Q l&TW6ys B8l&U

#L? ^6y9u 要判断系统是否安装有木马，首先从系统端口来检测。
KZ'RA3Y#y5pm 正向连接的木马由服务端打开特定的端口，然后客户端程序向服务端发出连接信号；而反弹连接的木马程序正好相反，客户端系统打开的端口，等待服务端的自动连接。每一个木马程序都有特定使用的端口，比如冰河（7627），灰鸽子（8000）等等。Y;L5h.`^Q d6^Q
打开命令提示符窗口，键入“netstat -an”（如图）。
"\([-j$J0X3{%}9E 3xkB!P.Ru7ag?3|i
[attach]31853[/attach]
+D%v kT:K3S'{ `*uU)d
VM
1kR6u]Q7y%Zw Quote:

DT
Ov5b(Ys LG 是DOS命令,是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息.
p{C v6DjHv F Gs\} O
如果你的计算机有时候接收到的数据报导致出错数据或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。 %BAG$r*lp_
M
8Ssv'k"nf
一般用netstat -na 来显示所有连接的端口并用数字表示.

小迷糊 发表于 2008-6-17 15:01

netstat命令的功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作。fIWf6L(jT
.`I;}Rkc
该命令的一般格式为： ?6U,LO+C
z0E s
vS xh%c'g
netstat [选项]
|]|8md1Z!`I
t:wFn8Xz 命令中各选项的含义如下：Du0{)BanG

,gds ],FSk -a 显示所有socket，包括正在监听的。 cH vUf:U
-c 每隔1秒就重新显示一遍，直到用户中断它。
!\B3XN3kl/I&| -i 显示所有网络接口的信息，格式同“ifconfig -e”。.t~,qM`1q9O6@9K+z'q
-n 以网络IP地址代替名称，显示出网络连接情形。
6R3Jj$K3k3vv -r 显示核心路由表，格式同“route -e”。
c)Gm
U+u7o K[s -t 显示TCP协议的连接情况。p1QMs qeK
-u 显示UDP协议的连接情况。
r MJ)^ Nq} -v 显示正在进行的工作。
E.x*Z F$v
Jk&?;z] \:A)Y$B1i -A 显示任何关联的协议控制块的地址。主要用于调试!S7jF OC
pQ)Z,z
-a 显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字
5R8X$Qi7A,| -i 显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列!XUxJ'^ Syxu
-m 打印网络存储器的使用情况
M2i[O5f#Q -n 打印实际地址，而不是对地址的解释或者显示主机，网络名之类的符号
#a:T yJ-C@Qx -r 打印路由选择表
'J!P!YY? I -f address -family对于给出名字的地址簇打印统计数字和控制块信息。到目前为止，唯一支持的地址簇是inetN[6VyF`.Yf
-I interface 只打印给出名字的接口状态/OzWS4aI:n%c
-p protocol-name 只打印给出名字的协议的统计数字和协议控制块信息g/@a5?6n)GNg
-s 打印每个协议的统计数字
u/U3p$y`,~Ic/YL -t 在输出显示中用时间信息代替队列长度信息。
!O6?;ee/p0F5A

[-ox(B1C `I-x netstat命令的列标题
:@~!l\ E+n$K me)m Name 接口的名字5lYV%E/s,p&[rF9c
Mtu 接口的最大传输单位
M`!qX[W9Nl/EC Net/Dest 接口所在的网络
+l0ZrZ tr2G1P Address 接口的IP地址
\;FR+{
lTM r7S Ipkts 接收到的数据包数目K!kL;v:q8f&a7lR,K
Ierrs 接收到时已损坏的数据包数目*D't#Z%HB-|M*B]N
Opkts 发送的数据包数目
f"F%O/PZ*p7K
d Oeers 发送时已损坏的数据包数目P b4[5W#L
Collisions 由这个接口所记录的网络冲突数目 ,QC;Y+]&a`z-qI

A!M-e+K^ netstat的一些常用选项：
L-D*bjD:T netstat -s--本选项能够按照各个协议分别显示其统计数据。如果你的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么你就可以用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。
jU2^6B-S3x| netstat -e--本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量）。 3r`r7i[QzK:o0f
netstat -r--本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还显示当前有效的连接。
r
bPF*M`&@ netstat -a--本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。
3Wd{1eX bnetstat -n--显示所有已建立的有效连接。
Ey|{"? S7q r-l « AWKPHP经典 »netstat -an中state含义KAf&w7nk:fcp*g-]%j

%y0D4V#K4`.mxy0y "R2hd8iz6_2\4n1A
netstat -an中state含义
9_ @#C
SU!\C5W%H LISTEN：侦听来自远方的TCP端口的连接请求)K9Onaf-f^)v
SYN-SENT：再发送连接请求后等待匹配的连接请求
m"B`Ed-` ~n SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认
\SeIs!Y^A ESTABLISHED：代表一个打开的连接#K N't\z
FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认5WToN/z
D9k'u3C'S\
FIN-WAIT-2：从远程TCP等待连接中断请求:~%z|XsG;CuZk!m
CLOSE-WAIT：等待从本地用户发来的连接中断请求
WI
F7U'jv*_ CLOSING：等待远程TCP对连接中断的确认
aN;M u GM1@4}#IX
LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认+m-o`1U6R4q
TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认e ~)I7i;EDK
CLOSED：没有任何连接状态"dew|e
其实可以man netstat , 看其中的stat部分解释

小迷糊 发表于 2008-6-17 15:06

State
{5R;pwK{}a The state of the socket. Since there are no states in raw mode and usually no states used in UDP, this column may be left
V-?4g p4B {KnM blank. Normally this can be one of several values:
+A-yf \yP ESTABLISHED
X'J P*?#K`C The socket has an established connection.'}n|*I3t
SYN_SENT
.B Qp6]?&J The socket is actively attempting to establish a connection.
9a)s(`Clr8d SYN_RECV
T4Uxs_ A connection request has been received from the network.
rQ2qA QD\ M FIN_WAIT1'FH5|$b2P!R0U
The socket is closed, and the connection is shutting down.EgiL6b
FIN_WAIT2"]Q6},x0NZ7U Z[X;a
Connection is closed, and the socket is waiting for a shutdown from the remote end.
h&x|4MA d#b TIME_WAIT
}5o;x3@:S2[ The socket is waiting after close to handle packets still in the network.
:r/P C~,M`(d CLOSED The socket is not being used.
Y:apBeK2^1q CLOSE_WAIT
I!B8a'S0jU M~I$r%{ The remote end has shut down, waiting for the socket to close.
V;d6j8h[2g@ LAST_ACK$K]l[[|
F-z+_
The remote end has shut down, and the socket is closed. Waiting for acknowledgement.7r$Ry V4Y
LISTEN The socket is listening for incoming connections. Such sockets are not included in the output unless you specify
H5~#G/JUr the –listening (-l) or –all (-a) option.!`"OVa#g
CLOSINGM$m5O
_6sF8zq
Both sockets are shut down but we still don’t have all our data sent.
`;rz2YQ)\j'dx UNKNOWNw:I UQ
n#h5PR
The state of the socket is unknown.
? x;J&h,V
Dl*Abs a%L)P5NF9R [attach]31854[/attach]
(?`5kL.Eq3_yI
$OJqKtC Local Address代表本机地址，冒号后面的数字就是使用的端口号；For-eign Address代表远程地址，State代表状态。l'k%u5Y/zCW$V

~oq S4WW7Al 如果发现源端口或者目标端口是某些木马程序特定使用的端口，那么就说明本地计算机已经成为了别人的肉鸡。T(n?2N9R1OxA3xh

^px*QP]
hV"H 检测本地通信。打开CMD，输入netstat -an，这个时候你就可以看到自己目前正在和那些IP端口进行通信。以及本机存在的端口。如果发现自己在连接某些陌生IP的时候，就要注意了！建议在关闭QQ和IE这些程序后查看本地通信。这样防止建立过多通信，影响检测。!z
D O @ M L+m2O
dim fl+w0I
第二招：系统进程辨真伪 ~c+N`#Q3Er1m[
不管是木马程序还是正常程序，执行以后都会在系统之中进程信息。木马将名称和系统进程设置得十分地相似，通过“用户名”来查看其加载用户，系统进程都是System用户加载的，如果是由当前使用的用户加载的，那么它一定有问题。
.^ f#})p:tw}7f
G2Yq+]MG.H/c3O 很多的木马会隐藏进程，这时大家可以通过冰刃IceSword的进程列表查看，红色的就是隐藏进程。所以还可以同时打开任务管理器和冰刃IceSword比较进程，如果冰刃里多出一个进程，那可能就是木马进程。
u#y|O}$[-D 8Ud` }}~k
第三招：查看启动项目#ih8R4ts
| C!z1W
对系统的启动项进行检测也是很有效的方法，比如使用System　Repair Engineer这个系统检测工具。为了增加用户的分别能力，程序可以对启动项、系统服务的危险性规则，当发现可疑内容时会以颜色高亮显示。QP} L^5]k
开始-运行中输入：Msconfig.exe，打开启动项目管理，查看开机启动项目。正常的计算机启动项目只需要3个。分别为：IMJPMIG.EXE/TINTSETP.EXE/SOUNMAN.EXE/CTFMON.EXE。如果你发现在系统目录多出了启动项目，就要留心了！
-v(sD}1x
5y1s3f V2Y9x:Em 第四招：不乱上危险网站，不接受不明信息来源的文件，防止木马入侵电脑。重要！d3C+eTK&kif:wz
1、不要随便打开来历不明的网站，也不要随便接收来历不明的邮件等！
%[
~K)J)^R(Ys 现在被挂有网页木马的网站越来越多了，所以大家平时千万不要随便打开来历不明的网站！A4k4m6wuc`(T/qc
2、不要随便运行可执行文件！重要！9CG8b[8J P?`d
可执行文件专指.exe,.com等直接可运行的文件：`l5@XJ\p
可执行文件exe .bat .pif . scr .cmd .com 等
N @ j c;R 可以带直接运行脚本的：htm chm html asp htt 等4^1OB+r!U0g}a
.wav .mp3 、.mid、.doc等类型的文件也有可能被人捆绑木马
#zcZ*b%y7PE 大家平时运行文件的时候一定要慎重，特别是.exe后缀的文件运行要特别慎重！
!Q ~Q*@4| 运行可执行文件一定要经过严格的检验，切勿随便打开来历不明的可执行文件。i@Tu!Y9k)\~Cb
g"L2AC2p@0y$d
在运行可疑文件前，打开目录C:\WINDOWS和C:\WINDOWS\system32（重点），选择按时间顺序排列文件。然后运行可疑文件，接着刷新SYS和WINDOWS目录（注意在文件夹选项里把隐藏文件设置为全部显示）。如果发现程序出现新增文件，90%就是捆绑了后门！
VWQ"_+| xyiu 大家下到的软件。绝大部分是不可能需要安装的。也就是说不需要增加某些系统文件才能运行。而且包括很大一部分需安装的软件，再重新安装系统后，也可以使用。只是需要重新输入注册信息罢了。a5J,{MS5Qza
v,_}`9S;TX;|
而对于大家下载到的几M大，甚至几百K的程序，如果出现在SYS和WINDOWS目录运行后增加新可疑文件的。绝对是后门无疑。
7c.mD8[;d7t_k W3W}!n)x
WVkt
J 以上招足够对付那些黑客入侵。至于发现自己成为肉鸡之后的事情就自由发挥了~最起码第一时间断网，避免更大的损失；推荐：GHOST，系统恢复中的经典！杀毒软件和防火墙纯粹是图个心理安慰罢了。建议大家还是通过此方法手工检测系统安全吧。。有的时候不要太相信自己了，建议装虚拟机或者有条件的可以在肉鸡上网~这年头社会工程学NB，例如：曾经有个搞网络游戏的商人直接收买了我一个现实中的朋友，结果那“朋友”来我家玩，趁我不注意。给我运行了“商人”的后门。。。。
Zx,l5q_d^;\ qxi %D0{e2g{
V$z

,QD+tvz @}@ !EL;J'NSS*_Z
华夏黑客联盟温馨提醒：a3[IUe5?A(p}Ew
由于经常利益的驱使，现在网络售卖木马已经很多了。有法律专家指出制造和传播病毒是违法的，但是对于木马、黑客程序、“流氓软件”等并没有明确的界定。这也是黑客们在网上公开叫卖“肉鸡”而无人管的一个重要原因。.n.M0x&P;{
b6w
5o{{mNX%^)K`
我们一方面要掌握好安全知识，防范被黑客利用，另一方面也应该了解一些黑客知识，以便更有针对性地反黑，但绝不应该用它来害人害己。

hunqing2008 发表于 2008-6-17 15:14

很好，学习了，谢谢楼主

pss1990 发表于 2008-6-17 15:15

我也不知道是还是不是

降落的天使 发表于 2008-6-17 15:19

好帖，看了

小鱼96 发表于 2008-6-17 17:33

学习中!:)102:)

查看完整版本: 你是肉鸡吗？