小伟 2008-6-17 16:23
你是肉鸡吗?
[color=#ff0000][size=3][color=darkslategray]声明:转载请指名来自华夏黑客联盟([/color][/size][size=3][color=darkslategray]www.hxhack.com[/color][/size][size=3][color=darkslategray]),违者必究![/color][/size][/color]
[size=3][color=darkslategray]说句夸张的话,现在的小学生都会上网,网上有看的、听的、玩的。。。。。海量的资讯让人目不暇接。
可是在风光的背后,还隐藏着许多不能告人的“坏东西”,他们就是木马病毒。
木马程序其实也算一种病毒,现在各种盗号木马比病毒更加流行,大量玩家的网络帐户不保,网络安全形势严峻。
这个文章就是让大家在教训中学习经验。
我是肉鸡吗?
突然想到一个问题,我会成为别人的肉鸡,不由地惊出一身冷汗。虽然通过杀毒软件可以对一些已知的病毒木马进行清除,但是随着Oday漏洞和未知木马的层出不穷,因此防范的时候还需要打一套“组合拳”才行。
第一招:查端口
要判断系统是否安装有木马,首先从系统端口来检测。
正向连接的木马由服务端打开特定的端口,然后客户端程序向服务端发出连接信号;而反弹连接的木马程序正好相反,客户端系统打开的端口,等待服务端的自动连接。每一个木马程序都有特定使用的端口,比如冰河(7627),灰鸽子(8000)等等。
打开命令提示符窗口,键入“netstat -an”(如图)。
[img]http://www.hxhack.com/bbs/attachment/25_2_1dbab13b0a56d01.jpg[/img]
[/color][/size][size=3][color=darkslategray]Quote:[/color][/size][indent][size=3][color=darkslategray]是DOS命令,是一个监控TCP/IP网络的非常有用的工具,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息.
如果你的计算机有时候接收到的数据报导致出错数据或故障,你不必感到奇怪,TCP/IP可以容许这些类型的错误,并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比,或者它的数目正迅速增加,那么你就应该使用Netstat查一查为什么会出现这些情况了。
一般用netstat -na 来显示所有连接的端口并用数字表示.
netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。
该命令的一般格式为:
netstat [选项]
命令中各选项的含义如下:
-a 显示所有socket,包括正在监听的。
-c 每隔1秒就重新显示一遍,直到用户中断它。
-i 显示所有网络接口的信息,格式同“ifconfig -e”。
-n 以网络IP地址代替名称,显示出网络连接情形。
-r 显示核心路由表,格式同“route -e”。
-t 显示TCP协议的连接情况。
-u 显示UDP协议的连接情况。
-v 显示正在进行的工作。
-A 显示任何关联的协议控制块的地址。主要用于调试
-a 显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字
-i 显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列
-m 打印网络存储器的使用情况
-n 打印实际地址,而不是对地址的解释或者显示主机,网络名之类的符号
-r 打印路由选择表
-f address -family对于给出名字的地址簇打印统计数字和控制块信息。到目前为止,唯一支持的地址簇是inet
-I interface 只打印给出名字的接口状态
-p protocol-name 只打印给出名字的协议的统计数字和协议控制块信息
-s 打印每个协议的统计数字
-t 在输出显示中用时间信息代替队列长度信息。
netstat命令的列标题
Name 接口的名字
Mtu 接口的最大传输单位
Net/Dest 接口所在的网络
Address 接口的IP地址
Ipkts 接收到的数据包数目
Ierrs 接收到时已损坏的数据包数目
Opkts 发送的数据包数目
Oeers 发送时已损坏的数据包数目
Collisions 由这个接口所记录的网络冲突数目
netstat的一些常用选项:
netstat -s--本选项能够按照各个协议分别显示其统计数据。如果你的应用程序(如Web浏览器)运行速度比较慢,或者不能显示Web页之类的数据,那么你就可以用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行,找到出错的关键字,进而确定问题所在。
netstat -e--本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量,也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量)。
netstat -r--本选项可以显示关于路由表的信息,类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外,还显示当前有效的连接。
netstat -a--本选项显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接。
bnetstat -n--显示所有已建立的有效连接。
« AWKPHP经典 »netstat -an中state含义
netstat -an中state含义
LISTEN:侦听来自远方的TCP端口的连接请求
SYN-SENT:再发送连接请求后等待匹配的连接请求
SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认
ESTABLISHED:代表一个打开的连接
FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认
FIN-WAIT-2:从远程TCP等待连接中断请求
CLOSE-WAIT:等待从本地用户发来的连接中断请求
CLOSING:等待远程TCP对连接中断的确认
LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认
TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认
CLOSED:没有任何连接状态
其实可以man netstat , 看其中的stat部分解释
State
The state of the socket. Since there are no states in raw mode and usually no states used in UDP, this column may be left
blank. Normally this can be one of several values:
ESTABLISHED
The socket has an established connection.
SYN_SENT
The socket is actively attempting to establish a connection.
SYN_RECV
A connection request has been received from the network.
FIN_WAIT1
The socket is closed, and the connection is shutting down.
FIN_WAIT2
Connection is closed, and the socket is waiting for a shutdown from the remote end.
TIME_WAIT
The socket is waiting after close to handle packets still in the network.
CLOSED The socket is not being used.
CLOSE_WAIT
The remote end has shut down, waiting for the socket to close.
LAST_ACK
The remote end has shut down, and the socket is closed. Waiting for acknowledgement.
LISTEN The socket is listening for incoming connections. Such sockets are not included in the output unless you specify
the –listening (-l) or –all (-a) option.
CLOSING
Both sockets are shut down but we still don’t have all our data sent.
UNKNOWN
The state of the socket is unknown.[/color][/size][/indent]
[size=3][color=darkslategray][img]http://www.hxhack.com/bbs/attachment/25_2_61d0f9d15a363c9.jpg[/img]
Local Address代表本机地址,冒号后面的数字就是使用的端口号;For-eign Address代表远程地址,State代表状态。
如果发现源端口或者目标端口是某些木马程序特定使用的端口,那么就说明本地计算机已经成为了别人的肉鸡。
检测本地通信。打开CMD,输入netstat -an,这个时候你就可以看到自己目前正在和那些IP端口进行通信。以及本机存在的端口。如果发现自己在连接某些陌生IP的时候,就要注意了!建议在关闭QQ和IE这些程序后查看本地通信。这样防止建立过多通信,影响检测。
第二招:系统进程辨真伪
不管是木马程序还是正常程序,执行以后都会在系统之中进程信息。木马将名称和系统进程设置得十分地相似,通过“用户名”来查看其加载用户,系统进程都是System用户加载的,如果是由当前使用的用户加载的,那么它一定有问题。
很多的木马会隐藏进程,这时大家可以通过冰刃IceSword的进程列表查看,红色的就是隐藏进程。所以还可以同时打开任务管理器和冰刃IceSword比较进程,如果冰刃里多出一个进程,那可能就是木马进程。
第三招:查看启动项目
对系统的启动项进行检测也是很有效的方法,比如使用System Repair Engineer这个系统检测工具。为了增加用户的分别能力,程序可以对启动项、系统服务的危险性规则,当发现可疑内容时会以颜色高亮显示。
开始-运行中输入:Msconfig.exe,打开启动项目管理,查看开机启动项目。正常的计算机启动项目只需要3个。分别为:IMJPMIG.EXE/TINTSETP.EXE/SOUNMAN.EXE/CTFMON.EXE。如果你发现在系统目录多出了启动项目,就要留心了!
第四招:不乱上危险网站,不接受不明信息来源的文件,防止木马入侵电脑。重要!
1、不要随便打开来历不明的网站,也不要随便接收来历不明的邮件等!
现在被挂有网页木马的网站越来越多了,所以大家平时千万不要随便打开来历不明的网站!
2、不要随便运行可执行文件!重要!
可执行文件专指.exe,.com等直接可运行的文件:
可执行文件exe .bat .pif . scr .cmd .com 等
可以带直接运行脚本的:htm chm html asp htt 等
.wav .mp3 、.mid、.doc等类型的文件也有可能被人捆绑木马
大家平时运行文件的时候一定要慎重,特别是.exe后缀的文件运行要特别慎重!
原创:如何判断黑客工具是否捆绑木马和后门!
[/color][/size][size=3][color=darkslategray]http://www.hxhack.com/bbs/read.php?tid-142510-keyword-%BA%DA%BF%CD%B9%A4%BE%DF.html[/color][/size]
[size=3][color=darkslategray]运行可执行文件一定要经过严格的检验,切勿随便打开来历不明的可执行文件。
在运行可疑文件前,打开目录C:\WINDOWS和C:\WINDOWS\system32(重点),选择按时间顺序排列文件。然后运行可疑文件,接着刷新SYS和WINDOWS目录(注意在文件夹选项里把隐藏文件设置为全部显示)。如果发现程序出现新增文件,90%就是捆绑了后门!
大家下到的软件。绝大部分是不可能需要安装的。也就是说不需要增加某些系统文件才能运行。而且包括很大一部分需安装的软件,再重新安装系统后,也可以使用。只是需要重新输入注册信息罢了。
而对于大家下载到的几M大,甚至几百K的程序,如果出现在SYS和WINDOWS目录运行后增加新可疑文件的。绝对是后门无疑。
以上招足够对付那些黑客入侵。至于发现自己成为肉鸡之后的事情就自由发挥了~最起码第一时间断网,避免更大的损失;推荐:GHOST,系统恢复中的经典!杀毒软件和防火墙纯粹是图个心理安慰罢了。建议大家还是通过此方法手工检测系统安全吧。。有的时候不要太相信自己了,建议装虚拟机或者有条件的可以在肉鸡上网~这年头社会工程学NB,例如:曾经有个搞网络游戏的商人直接收买了我一个现实中的朋友,结果那“朋友”来我家玩,趁我不注意。给我运行了“商人”的后门。。。。
华夏黑客联盟温馨提醒:
由于经常利益的驱使,现在网络售卖木马已经很多了。有法律专家指出制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有明确的界定。这也是黑客们在网上公开叫卖“肉鸡”而无人管的一个重要原因。
我们一方面要掌握好安全知识,防范被黑客利用,另一方面也应该了解一些黑客知识,以便更有针对性地反黑,但绝不应该用它来害人害己。
[/color][/size]