在這里主要描述的是正確抵御“肉雞攻擊”的實(shí)際操作技能，在實(shí)際操作中，你會(huì)為此頭痛至極嗎？以下的文章就是對(duì)肉雞攻擊的原理，以及如何正確發(fā)現(xiàn)與抵御肉雞攻擊的內(nèi)容的具體描述。

其能夠通過黑客手段，偷到全國各地的車主信息，各大銀行用戶數(shù)據(jù)，甚至股民信息等等，為了驗(yàn)證他出售的信息的真實(shí)性，他給記者發(fā)來了一個(gè)文件，接收后不到5秒鐘，電腦里的鼠標(biāo)自己在屏幕上移動(dòng)起來，并點(diǎn)擊打開了電腦中的各個(gè)文件夾，直到自動(dòng)關(guān)機(jī)……這樣的場(chǎng)景在一部分電視觀眾心中引起震驚，如果網(wǎng)銀用戶的電腦在不經(jīng)意間變成黑客手中的“肉雞”，在用戶毫不知情的情況下在網(wǎng)上隨意任其擺布，用戶賬上的資金被盜，豈不易如反掌了嗎？

一份艾瑞調(diào)研報(bào)告顯示，315晚會(huì)對(duì)網(wǎng)上銀行業(yè)務(wù)產(chǎn)生相當(dāng)大的沖擊，近三成受調(diào)研的用戶決定減少使用，近六成的潛在用戶決定推遲使用，超兩成的潛在用戶決定不再使用網(wǎng)上銀行和網(wǎng)上支付！

不過，就像洗完澡后不能把洗凈的孩子和洗澡水一起倒掉一樣，我們不能因噎廢食，從此被肉雞攻擊所嚇阻，舍棄了方興未艾的網(wǎng)上銀行服務(wù)?，F(xiàn)在最應(yīng)該做的是，找出一條抵御肉雞攻擊的有效途徑，為放心安全開展網(wǎng)銀業(yè)務(wù)掃清障礙！

肉雞攻擊是怎么回事

肉雞攻擊真的有那么可怕嗎？答案是否定的。古話說：“魔高一尺，道高一丈。”現(xiàn)在的安全技術(shù)完全有能力來抵御肉雞攻擊，保護(hù)網(wǎng)上銀行和網(wǎng)上支付的安全。當(dāng)然，抵御肉雞攻擊的首要條件是“知己知彼”，下面，我們就來具體地講解一下與肉雞攻擊有關(guān)系的概念，可以分四個(gè)方面來講：

一、什么是計(jì)算機(jī)遠(yuǎn)程控制

遠(yuǎn)程控制是計(jì)算機(jī)的一項(xiàng)正常的功能。打開你的電腦，右擊“我的電腦”圖標(biāo)，再順序點(diǎn)擊“管理”，“服務(wù)和應(yīng)用程序”，“服務(wù)”，你能發(fā)現(xiàn)“Telnet”和“Telnet Services”兩項(xiàng)服務(wù)。Windows操作系統(tǒng)提供的這兩項(xiàng)服務(wù)就是遠(yuǎn)程控制的功能。Telnet允許用戶遠(yuǎn)程登錄主機(jī)和運(yùn)行程序；而Telnet Services允許多位用戶連接并控制一臺(tái)計(jì)算機(jī)，還能在遠(yuǎn)程計(jì)算機(jī)上顯示桌面和應(yīng)用程序，即“遠(yuǎn)程桌面”的功能。

計(jì)算機(jī)系統(tǒng)的遠(yuǎn)程控制功能是為了正常工作需要而設(shè)定的。比如系統(tǒng)管理員上外地出差了，計(jì)算機(jī)系統(tǒng)出了情況要維護(hù)，怎么辦呢？他可以通過網(wǎng)絡(luò)遠(yuǎn)程登錄自己的計(jì)算機(jī)，執(zhí)行一些命令和程序，察看運(yùn)行狀況，進(jìn)行必要的處理。然而，黑客卻利用了遠(yuǎn)程控制的理念，設(shè)法進(jìn)入并控制別人機(jī)器，實(shí)施肉雞攻擊。

二、遠(yuǎn)程控制后門木馬

能夠?qū)崿F(xiàn)非法遠(yuǎn)程控制的黑客軟件/木馬有很多，比較典型的有“灰鴿子”、“網(wǎng)絡(luò)紅娘”、“上興遠(yuǎn)程控制”、“PC Shell”等。這些木馬也被稱為“遠(yuǎn)程控制后門病毒”。我們以“灰鴿子”為例，看看它們能做什么？

遠(yuǎn)程控制軟件一般由服務(wù)端（被控端）和客戶端（控制端）兩部分組成。灰鴿子可以利用客戶端程序配置出服務(wù)端程序?？膳渲玫男畔⒅饕ㄉ暇€類型（如等待連接還是主動(dòng)連接）、主動(dòng)連接時(shí)使用的公網(wǎng)IP（域名）、連接密碼、使用的端口、啟動(dòng)項(xiàng)名稱、服務(wù)名稱，進(jìn)程隱藏方式，使用的殼，代理，圖標(biāo)等等。

這樣，灰鴿子的服務(wù)端（肉雞電腦），不是等待控制端（黑客電腦）連接，而是系統(tǒng)一啟動(dòng)，服務(wù)端就會(huì)去自動(dòng)上線連接控制端，控制端的操作人員（黑客）隨時(shí)可以完成他想要進(jìn)行的操作。

服務(wù)端程序運(yùn)行后自行刪除，并且可以選擇完全隱藏服務(wù)端圖標(biāo)。即使有服務(wù)端圖標(biāo)，和其它正常的遠(yuǎn)程控制軟件不同的是，這個(gè)圖標(biāo)完全沒有任何用處，你只是知道它存在而已，想關(guān)閉也很難辦。

灰鴿子可以配置即將種植在肉雞上的病毒名和病毒自動(dòng)加載啟動(dòng)項(xiàng) ；可以配置代理服務(wù)器，使得中灰鴿子的機(jī)器不明不白地為第三方提供網(wǎng)絡(luò)連接服務(wù)。使用代理服務(wù)器作跳板對(duì)第三方目標(biāo)發(fā)起攻擊，是黑客最愛干的事兒，一旦有人追查，這些代理服務(wù)器，就成了真正黑客的替罪羊。

灰鴿子可以配置插件，可用來捆綁第三方軟件，比如流氓軟件……等等。

當(dāng)中了招的肉雞電腦服務(wù)端啟動(dòng)后，客戶端立即發(fā)現(xiàn)目標(biāo)主機(jī)自動(dòng)上線，這意味著客戶端可以為所欲為了。這時(shí)候，黑客能干的事有很多，如：

·直接操作肉雞電腦文件，上傳下載，刪除修改，看中什么就拿什么。

·執(zhí)行遠(yuǎn)程控制命令組，可以查看遠(yuǎn)程主機(jī)的系統(tǒng)信息、剪切板、進(jìn)程、窗口、鍵盤記錄器、服務(wù)、共享、模擬命令行操作、設(shè)置代理服務(wù)器和啟動(dòng)插件。想想看，如果目標(biāo)主機(jī)的操作人員正在登錄網(wǎng)上銀行，你的每個(gè)擊鍵動(dòng)作，都像在黑客的眼皮底下。

·操作遠(yuǎn)程編輯注冊(cè)表，上傳一個(gè)有害程序，修改目標(biāo)主機(jī)注冊(cè)表，讓這個(gè)程序自動(dòng)加載，和操作你本地的注冊(cè)表一樣容易。

灰鴿子能干的其他事請(qǐng)還包括命令廣播功能、遠(yuǎn)程桌面功能、遠(yuǎn)程控制攝像頭等。限于篇幅，不一一介紹了。

三、什么是網(wǎng)頁掛馬

黑客實(shí)施“肉雞攻擊”有多種途徑。

第一個(gè)途徑是直接途徑：即黑客直接給用戶發(fā)送含有遠(yuǎn)程控制木馬程序的電子郵件，用戶一旦接收并打開郵件就會(huì)中招，木馬就會(huì)被種入用戶電腦中。但是使用這個(gè)方法比較笨拙，必須先要知道用戶的電子郵件地址才行，這還得花時(shí)間去搜索收集，逐個(gè)地嘗試。因此，還有第二個(gè)途徑——網(wǎng)頁掛馬。

這個(gè)途徑是間接方式的，黑客先找一個(gè)網(wǎng)站，一般是訪問量大的網(wǎng)站，想辦法在網(wǎng)站的網(wǎng)頁上種入木馬，當(dāng)用戶訪問該網(wǎng)站時(shí)，木馬就會(huì)被復(fù)制到用戶電腦中。當(dāng)然，這里有一個(gè)條件：因?yàn)榫W(wǎng)馬是利用計(jì)算機(jī)系統(tǒng)漏洞或某個(gè)應(yīng)用軟件的漏洞進(jìn)行傳播惡意程序的，中毒的前提是，用戶計(jì)算機(jī)存在著對(duì)應(yīng)網(wǎng)馬的漏洞，同時(shí)，用戶也沒有在計(jì)算機(jī)中安裝高效的安全軟件來保護(hù)其系統(tǒng)，從而網(wǎng)馬病毒被免殺。這種“等客自動(dòng)上門”的方式比較高效，被黑客廣泛應(yīng)用。

如果網(wǎng)站采取了比較嚴(yán)密的防范措施，黑客是無縫可鉆的?？上В心敲匆慌W(wǎng)站，包括一些知名的大網(wǎng)站，防范措施不夠嚴(yán)密，有漏洞可鉆。

一般來說，黑客并沒有固定的攻擊目標(biāo)，怎樣尋找?guī)в新┒吹木W(wǎng)站呢？他們利用一種工具——漏洞掃描器，在網(wǎng)上搜索有注入漏洞的網(wǎng)站服務(wù)器。漏洞掃描器軟件有很多，有的掃描器功能強(qiáng)大，不但可以發(fā)現(xiàn)服務(wù)器打開的的端口，還可以獲得操作員的賬號(hào)和口令密碼，判斷操作系統(tǒng)有哪些服務(wù)在運(yùn)行，甚至判斷目標(biāo)內(nèi)安置的防火墻及入侵檢測(cè)系統(tǒng)（IDS）的規(guī)避技術(shù)等。有的黑客還把漏洞掃描器和強(qiáng)大的Google搜索引擎結(jié)合起來，以提高搜索效率。有黑客做了個(gè)統(tǒng)計(jì)，如果關(guān)鍵字設(shè)得好，搜索的結(jié)果中，每100個(gè)網(wǎng)站中就能發(fā)現(xiàn)20幾個(gè)有注入漏洞的網(wǎng)站，在這些網(wǎng)站中又有5個(gè)左右是有sa（數(shù)據(jù)庫系統(tǒng)管理員）權(quán)限的。

已發(fā)現(xiàn)的具有注入漏洞的網(wǎng)址被稱為“注入點(diǎn)”。

黑客通過漏洞掃描發(fā)現(xiàn)了注入點(diǎn)，就利用黑客軟件給這個(gè)網(wǎng)站實(shí)施網(wǎng)頁掛馬。

網(wǎng)頁掛馬的手段有很多，比如，黑客可以將木馬與一張圖片綁定，嵌入網(wǎng)頁，誘騙你點(diǎn)擊打開；網(wǎng)頁木馬還可以掛在多媒體文件（RM、RMVB、WMV、WMA、Flash）、電子郵件、論壇等多種形式的媒介上；另外，也可以將文件上傳到某個(gè)軟件下載站點(diǎn)，冒充成一個(gè)有趣的軟件誘騙用戶下載。從名稱上講，這個(gè)雖然不能稱為“網(wǎng)頁掛馬”，但其目的和效果與前者是一樣的。

網(wǎng)頁木馬實(shí)際上是一個(gè)HTML網(wǎng)頁，嵌入在這個(gè)網(wǎng)頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓用戶電腦的IE瀏覽器在后臺(tái)自動(dòng)下載黑客放置在網(wǎng)頁上的木馬并安裝運(yùn)行這個(gè)木馬。整個(gè)過程都在后臺(tái)運(yùn)行，用戶一旦打開這個(gè)網(wǎng)頁，下載過程和安裝運(yùn)行過程就自動(dòng)開始。

為了安全，IE瀏覽器是禁止自動(dòng)下載程序特別是運(yùn)行程序的，但是，IE瀏覽器存在著一些已知和未知的漏洞，操作系統(tǒng)或其它應(yīng)用軟件（如暴風(fēng)影音媒體播放器、RealPlayer媒體播放器、Flash、迅雷等）也存在很多漏洞，網(wǎng)頁木馬就是利用這些漏洞獲得權(quán)限來下載程序和運(yùn)行程序的。

四、黑客怎樣操縱肉雞

黑客操縱“肉雞”有兩種方式：

一種方式是手動(dòng)方式，當(dāng)灰鴿子等遠(yuǎn)程控制后門木馬被種入用戶電腦并啟動(dòng)后，黑客的本地電腦就成為“肉雞”主機(jī)的遠(yuǎn)程終端，黑客可以手工操作，通過命令打開“肉雞”系統(tǒng)的文件，察看信息，執(zhí)行程序，發(fā)送數(shù)據(jù)……冒充主人作任何想做的事。

另一種方法是通過遠(yuǎn)程控制后門程序所配置的種植在肉雞上的病毒程序去控制目標(biāo)計(jì)算機(jī)。

上文中，我們已經(jīng)介紹過遠(yuǎn)程控制后門木馬/病毒的功能，黑客使用它，便表演出了315晚會(huì)上的那一幕情景。#p#

怎樣發(fā)現(xiàn)和抵御肉雞攻擊

了解了肉雞攻擊的過程和原理，我們可以領(lǐng)會(huì)到，肉雞攻擊并非你想象的那樣神秘莫測(cè)。簡而言之，“肉雞”就是一個(gè)在不知情的情況下被遠(yuǎn)程控制的計(jì)算機(jī)終端。主要是用戶不經(jīng)意瀏覽或者接收未知文件時(shí)中招，被種下了接受遠(yuǎn)程控制的木馬程序。

針對(duì)肉雞攻擊的特點(diǎn)，專家們提出了一些抵御肉雞攻擊的有效措施，值得大家參考采用。這些措施可以歸結(jié)為四個(gè)字：“一禁二補(bǔ)三檢四清”。下面具體解釋一下：

所謂“一禁”，就是不要訪問不熟悉的、可疑的網(wǎng)站。以免在瀏覽被掛了馬的網(wǎng)頁時(shí)中招。在登錄網(wǎng)上銀行網(wǎng)站時(shí)，要盡量直接輸入正確的域名，而不是從其他網(wǎng)站的鏈接地址進(jìn)入。

所謂“二補(bǔ)”，就是要及時(shí)打補(bǔ)丁，升級(jí)殺毒軟件。

我們的電腦系統(tǒng)中到底有多少漏洞？誰也說不清。拿微軟的Windows、Office來說，反正隔不多時(shí)，微軟就會(huì)發(fā)出通告，發(fā)現(xiàn)新的漏洞，要求用戶下載、安裝補(bǔ)丁軟件包。黑客當(dāng)然也沒閑著，就像賽跑一樣，他們力圖在用戶打好補(bǔ)丁之前，就實(shí)施入侵。所以，你一旦看到系統(tǒng)廠商以及其他應(yīng)用軟件供應(yīng)商要求打補(bǔ)丁的通告后，可千萬別掉以輕心，別發(fā)懶，應(yīng)該馬上動(dòng)手及時(shí)打好補(bǔ)丁，防患于未然。

對(duì)于你安裝的殺毒軟件，也要及時(shí)升級(jí)，讓你的殺毒軟件能夠殺掉最新的病毒，這樣才能做到“魔高一尺，道高一丈”。

所謂“三檢”，就是時(shí)刻注意觀察留意系統(tǒng)的異常情況。如：

·有時(shí)會(huì)突然發(fā)現(xiàn)你的鼠標(biāo)不聽使喚，在你不動(dòng)鼠標(biāo)的時(shí)候，鼠標(biāo)也會(huì)移動(dòng)，并且還會(huì)點(diǎn)擊有關(guān)按鈕進(jìn)行操作。

·正常上網(wǎng)時(shí)，突然感覺很慢，硬盤燈在閃爍，就像你平時(shí)在拷貝文件。

·在你沒有使用網(wǎng)絡(luò)資源時(shí)，你發(fā)現(xiàn)網(wǎng)卡燈在不停閃爍，或者屏幕右下角的網(wǎng)卡圖標(biāo)在閃。

·上網(wǎng)過程中計(jì)算機(jī)自動(dòng)重啟。

·電腦運(yùn)行過程中或者開機(jī)的時(shí)候彈出莫名其妙的對(duì)話框。

·出現(xiàn)異常情況后，按“Ctr”+“Alt”+“Del”鍵，打開“任務(wù)管理器”，檢查進(jìn)程隊(duì)列，如發(fā)現(xiàn)陌生可疑，且占用資源較多的進(jìn)程，即表明，可能被“掛馬”或中病毒了。

根據(jù)以上現(xiàn)象進(jìn)行初步的診斷，雖然不十分準(zhǔn)確，但仍具有參考價(jià)值，需引起我們警覺。

接下來，我們可以借助一些軟件來觀察網(wǎng)絡(luò)活動(dòng)情況，以檢查系統(tǒng)是否被入侵。

·注意檢查防火墻軟件的工作狀態(tài)。如果發(fā)現(xiàn)自己根本沒有使用的軟件在連接到遠(yuǎn)程計(jì)算機(jī)，就要小心了。

·使用一些工具軟件（如tcpview），可以非常清晰的查看當(dāng)前網(wǎng)絡(luò)的活動(dòng)狀態(tài)。一般的木馬連接，是可以通過這個(gè)工具查看到結(jié)果的?！?/p>

·使用殺毒軟件進(jìn)行在線診斷，特別注意全面診斷的進(jìn)程項(xiàng)。殺毒軟件會(huì)對(duì)每一項(xiàng)進(jìn)行安全評(píng)估，當(dāng)遇到未知項(xiàng)時(shí)，需要特別小心。

所謂“四清”，指的是你如果不幸已經(jīng)成為電腦肉雞，那么，要想法自救，清除病毒，盡快從“肉雞狀態(tài)”中解脫出來。

下面介紹一個(gè)典型的自救操作流程，可供參考：

一、正在上網(wǎng)的用戶，發(fā)現(xiàn)異常應(yīng)首先馬上斷開連接。

斷開連接可以在降低自己的損失的同時(shí)，也避免了病毒向更多的在線電腦傳播。

二、中毒后，應(yīng)馬上備份、轉(zhuǎn)移文檔和郵件等。

不管這些文件是否帶毒，你都應(yīng)該備份，因?yàn)橛行┎《臼菍ｉT針對(duì)某個(gè)殺毒軟件設(shè)計(jì)的，一運(yùn)行就會(huì)破壞其他文件，所以先備份是防患于未然的措施。等你清除完硬盤內(nèi)的病毒后，再來慢慢分析處理這些額外備份的文件較為妥善。

三、查殺病毒。

建議用兩種以上殺毒工具交叉清除病毒。由于開發(fā)時(shí)候側(cè)重點(diǎn)不同、使用的殺毒引擎不同，各種殺毒軟件都是有自己的長處和短處的，交叉使用效果較理想。

　四、鏡像恢復(fù)操作系統(tǒng)。

有經(jīng)驗(yàn)的電腦用戶都會(huì)在平時(shí)用Ghost軟件做了Windows的鏡像克隆備份。這時(shí)候用Ghost備份來做恢復(fù)，所還原的操作系統(tǒng)是最保險(xiǎn)的。這樣一做連潛在的未殺光的木馬程序也順便清理了。當(dāng)然，這要求你的Ghost備份絕對(duì)清潔可靠。要是在做Ghost備份的時(shí)候把木馬也備份了可就前功盡棄了。

　五、再次恢復(fù)系統(tǒng)后，更改你的網(wǎng)絡(luò)相關(guān)密碼。

包括登錄網(wǎng)絡(luò)的用戶名、密碼，郵箱的密碼和其他相關(guān)密碼，防止黑客用上次入侵過程中得到的密碼進(jìn)入你的系統(tǒng)。另外，因?yàn)楹芏嗳湎x病毒發(fā)作會(huì)向外隨機(jī)發(fā)送你的信息，所以及時(shí)地更改是必要的