在這里主要描述的是正確抵御“肉雞攻擊”的實際操作技能，在實際操作中，你會為此頭痛至極嗎？以下的文章就是對肉雞攻擊的原理，以及如何正確發(fā)現(xiàn)與抵御肉雞攻擊的內(nèi)容的具體描述。

其能夠通過黑客手段，偷到全國各地的車主信息，各大銀行用戶數(shù)據(jù)，甚至股民信息等等，為了驗證他出售的信息的真實性，他給記者發(fā)來了一個文件，接收后不到5秒鐘，電腦里的鼠標(biāo)自己在屏幕上移動起來，并點擊打開了電腦中的各個文件夾，直到自動關(guān)機……這樣的場景在一部分電視觀眾心中引起震驚，如果網(wǎng)銀用戶的電腦在不經(jīng)意間變成黑客手中的“肉雞”，在用戶毫不知情的情況下在網(wǎng)上隨意任其擺布，用戶賬上的資金被盜，豈不易如反掌了嗎？

一份艾瑞調(diào)研報告顯示，315晚會對網(wǎng)上銀行業(yè)務(wù)產(chǎn)生相當(dāng)大的沖擊，近三成受調(diào)研的用戶決定減少使用，近六成的潛在用戶決定推遲使用，超兩成的潛在用戶決定不再使用網(wǎng)上銀行和網(wǎng)上支付！

不過，就像洗完澡后不能把洗凈的孩子和洗澡水一起倒掉一樣，我們不能因噎廢食，從此被肉雞攻擊所嚇阻，舍棄了方興未艾的網(wǎng)上銀行服務(wù)。現(xiàn)在最應(yīng)該做的是，找出一條抵御肉雞攻擊的有效途徑，為放心安全開展網(wǎng)銀業(yè)務(wù)掃清障礙！

肉雞攻擊是怎么回事

肉雞攻擊真的有那么可怕嗎？答案是否定的。古話說：“魔高一尺，道高一丈。”現(xiàn)在的安全技術(shù)完全有能力來抵御肉雞攻擊，保護網(wǎng)上銀行和網(wǎng)上支付的安全。當(dāng)然，抵御肉雞攻擊的首要條件是“知己知彼”，下面，我們就來具體地講解一下與肉雞攻擊有關(guān)系的概念，可以分四個方面來講：

一、什么是計算機遠(yuǎn)程控制

遠(yuǎn)程控制是計算機的一項正常的功能。打開你的電腦，右擊“我的電腦”圖標(biāo)，再順序點擊“管理”，“服務(wù)和應(yīng)用程序”，“服務(wù)”，你能發(fā)現(xiàn)“Telnet”和“Telnet Services”兩項服務(wù)。Windows操作系統(tǒng)提供的這兩項服務(wù)就是遠(yuǎn)程控制的功能。Telnet允許用戶遠(yuǎn)程登錄主機和運行程序；而Telnet Services允許多位用戶連接并控制一臺計算機，還能在遠(yuǎn)程計算機上顯示桌面和應(yīng)用程序，即“遠(yuǎn)程桌面”的功能。

計算機系統(tǒng)的遠(yuǎn)程控制功能是為了正常工作需要而設(shè)定的。比如系統(tǒng)管理員上外地出差了，計算機系統(tǒng)出了情況要維護，怎么辦呢？他可以通過網(wǎng)絡(luò)遠(yuǎn)程登錄自己的計算機，執(zhí)行一些命令和程序，察看運行狀況，進行必要的處理。然而，黑客卻利用了遠(yuǎn)程控制的理念，設(shè)法進入并控制別人機器，實施肉雞攻擊。

二、遠(yuǎn)程控制后門木馬

能夠?qū)崿F(xiàn)非法遠(yuǎn)程控制的黑客軟件/木馬有很多，比較典型的有“灰鴿子”、“網(wǎng)絡(luò)紅娘”、“上興遠(yuǎn)程控制”、“PC Shell”等。這些木馬也被稱為“遠(yuǎn)程控制后門病毒”。我們以“灰鴿子”為例，看看它們能做什么？

遠(yuǎn)程控制軟件一般由服務(wù)端（被控端）和客戶端（控制端）兩部分組成?；银澴涌梢岳每蛻舳顺绦蚺渲贸龇?wù)端程序?？膳渲玫男畔⒅饕ㄉ暇€類型（如等待連接還是主動連接）、主動連接時使用的公網(wǎng)IP（域名）、連接密碼、使用的端口、啟動項名稱、服務(wù)名稱，進程隱藏方式，使用的殼，代理，圖標(biāo)等等。

這樣，灰鴿子的服務(wù)端（肉雞電腦），不是等待控制端（黑客電腦）連接，而是系統(tǒng)一啟動，服務(wù)端就會去自動上線連接控制端，控制端的操作人員（黑客）隨時可以完成他想要進行的操作。

服務(wù)端程序運行后自行刪除，并且可以選擇完全隱藏服務(wù)端圖標(biāo)。即使有服務(wù)端圖標(biāo)，和其它正常的遠(yuǎn)程控制軟件不同的是，這個圖標(biāo)完全沒有任何用處，你只是知道它存在而已，想關(guān)閉也很難辦。

灰鴿子可以配置即將種植在肉雞上的病毒名和病毒自動加載啟動項 ；可以配置代理服務(wù)器，使得中灰鴿子的機器不明不白地為第三方提供網(wǎng)絡(luò)連接服務(wù)。使用代理服務(wù)器作跳板對第三方目標(biāo)發(fā)起攻擊，是黑客最愛干的事兒，一旦有人追查，這些代理服務(wù)器，就成了真正黑客的替罪羊。

灰鴿子可以配置插件，可用來捆綁第三方軟件，比如流氓軟件……等等。

當(dāng)中了招的肉雞電腦服務(wù)端啟動后，客戶端立即發(fā)現(xiàn)目標(biāo)主機自動上線，這意味著客戶端可以為所欲為了。這時候，黑客能干的事有很多，如：

·直接操作肉雞電腦文件，上傳下載，刪除修改，看中什么就拿什么。

·執(zhí)行遠(yuǎn)程控制命令組，可以查看遠(yuǎn)程主機的系統(tǒng)信息、剪切板、進程、窗口、鍵盤記錄器、服務(wù)、共享、模擬命令行操作、設(shè)置代理服務(wù)器和啟動插件。想想看，如果目標(biāo)主機的操作人員正在登錄網(wǎng)上銀行，你的每個擊鍵動作，都像在黑客的眼皮底下。

·操作遠(yuǎn)程編輯注冊表，上傳一個有害程序，修改目標(biāo)主機注冊表，讓這個程序自動加載，和操作你本地的注冊表一樣容易。

灰鴿子能干的其他事請還包括命令廣播功能、遠(yuǎn)程桌面功能、遠(yuǎn)程控制攝像頭等。限于篇幅，不一一介紹了。

三、什么是網(wǎng)頁掛馬

黑客實施“肉雞攻擊”有多種途徑。

第一個途徑是直接途徑：即黑客直接給用戶發(fā)送含有遠(yuǎn)程控制木馬程序的電子郵件，用戶一旦接收并打開郵件就會中招，木馬就會被種入用戶電腦中。但是使用這個方法比較笨拙，必須先要知道用戶的電子郵件地址才行，這還得花時間去搜索收集，逐個地嘗試。因此，還有第二個途徑——網(wǎng)頁掛馬。

這個途徑是間接方式的，黑客先找一個網(wǎng)站，一般是訪問量大的網(wǎng)站，想辦法在網(wǎng)站的網(wǎng)頁上種入木馬，當(dāng)用戶訪問該網(wǎng)站時，木馬就會被復(fù)制到用戶電腦中。當(dāng)然，這里有一個條件：因為網(wǎng)馬是利用計算機系統(tǒng)漏洞或某個應(yīng)用軟件的漏洞進行傳播惡意程序的，中毒的前提是，用戶計算機存在著對應(yīng)網(wǎng)馬的漏洞，同時，用戶也沒有在計算機中安裝高效的安全軟件來保護其系統(tǒng)，從而網(wǎng)馬病毒被免殺。這種“等客自動上門”的方式比較高效，被黑客廣泛應(yīng)用。

如果網(wǎng)站采取了比較嚴(yán)密的防范措施，黑客是無縫可鉆的。可惜，有那么一批網(wǎng)站，包括一些知名的大網(wǎng)站，防范措施不夠嚴(yán)密，有漏洞可鉆。

一般來說，黑客并沒有固定的攻擊目標(biāo)，怎樣尋找?guī)в新┒吹木W(wǎng)站呢？他們利用一種工具——漏洞掃描器，在網(wǎng)上搜索有注入漏洞的網(wǎng)站服務(wù)器。漏洞掃描器軟件有很多，有的掃描器功能強大，不但可以發(fā)現(xiàn)服務(wù)器打開的的端口，還可以獲得操作員的賬號和口令密碼，判斷操作系統(tǒng)有哪些服務(wù)在運行，甚至判斷目標(biāo)內(nèi)安置的防火墻及入侵檢測系統(tǒng)（IDS）的規(guī)避技術(shù)等。有的黑客還把漏洞掃描器和強大的Google搜索引擎結(jié)合起來，以提高搜索效率。有黑客做了個統(tǒng)計，如果關(guān)鍵字設(shè)得好，搜索的結(jié)果中，每100個網(wǎng)站中就能發(fā)現(xiàn)20幾個有注入漏洞的網(wǎng)站，在這些網(wǎng)站中又有5個左右是有sa（數(shù)據(jù)庫系統(tǒng)管理員）權(quán)限的。

已發(fā)現(xiàn)的具有注入漏洞的網(wǎng)址被稱為“注入點”。

黑客通過漏洞掃描發(fā)現(xiàn)了注入點，就利用黑客軟件給這個網(wǎng)站實施網(wǎng)頁掛馬。

網(wǎng)頁掛馬的手段有很多，比如，黑客可以將木馬與一張圖片綁定，嵌入網(wǎng)頁，誘騙你點擊打開；網(wǎng)頁木馬還可以掛在多媒體文件（RM、RMVB、WMV、WMA、Flash）、電子郵件、論壇等多種形式的媒介上；另外，也可以將文件上傳到某個軟件下載站點，冒充成一個有趣的軟件誘騙用戶下載。從名稱上講，這個雖然不能稱為“網(wǎng)頁掛馬”，但其目的和效果與前者是一樣的。

網(wǎng)頁木馬實際上是一個HTML網(wǎng)頁，嵌入在這個網(wǎng)頁中的腳本恰如其分地利用了IE瀏覽器的漏洞，讓用戶電腦的IE瀏覽器在后臺自動下載黑客放置在網(wǎng)頁上的木馬并安裝運行這個木馬。整個過程都在后臺運行，用戶一旦打開這個網(wǎng)頁，下載過程和安裝運行過程就自動開始。

為了安全，IE瀏覽器是禁止自動下載程序特別是運行程序的，但是，IE瀏覽器存在著一些已知和未知的漏洞，操作系統(tǒng)或其它應(yīng)用軟件（如暴風(fēng)影音媒體播放器、RealPlayer媒體播放器、Flash、迅雷等）也存在很多漏洞，網(wǎng)頁木馬就是利用這些漏洞獲得權(quán)限來下載程序和運行程序的。

四、黑客怎樣操縱肉雞

黑客操縱“肉雞”有兩種方式：

一種方式是手動方式，當(dāng)灰鴿子等遠(yuǎn)程控制后門木馬被種入用戶電腦并啟動后，黑客的本地電腦就成為“肉雞”主機的遠(yuǎn)程終端，黑客可以手工操作，通過命令打開“肉雞”系統(tǒng)的文件，察看信息，執(zhí)行程序，發(fā)送數(shù)據(jù)……冒充主人作任何想做的事。

另一種方法是通過遠(yuǎn)程控制后門程序所配置的種植在肉雞上的病毒程序去控制目標(biāo)計算機。

上文中，我們已經(jīng)介紹過遠(yuǎn)程控制后門木馬/病毒的功能，黑客使用它，便表演出了315晚會上的那一幕情景。#p#

怎樣發(fā)現(xiàn)和抵御肉雞攻擊

了解了肉雞攻擊的過程和原理，我們可以領(lǐng)會到，肉雞攻擊并非你想象的那樣神秘莫測。簡而言之，“肉雞”就是一個在不知情的情況下被遠(yuǎn)程控制的計算機終端。主要是用戶不經(jīng)意瀏覽或者接收未知文件時中招，被種下了接受遠(yuǎn)程控制的木馬程序。

針對肉雞攻擊的特點，專家們提出了一些抵御肉雞攻擊的有效措施，值得大家參考采用。這些措施可以歸結(jié)為四個字：“一禁二補三檢四清”。下面具體解釋一下：

所謂“一禁”，就是不要訪問不熟悉的、可疑的網(wǎng)站。以免在瀏覽被掛了馬的網(wǎng)頁時中招。在登錄網(wǎng)上銀行網(wǎng)站時，要盡量直接輸入正確的域名，而不是從其他網(wǎng)站的鏈接地址進入。

所謂“二補”，就是要及時打補丁，升級殺毒軟件。

我們的電腦系統(tǒng)中到底有多少漏洞？誰也說不清。拿微軟的Windows、Office來說，反正隔不多時，微軟就會發(fā)出通告，發(fā)現(xiàn)新的漏洞，要求用戶下載、安裝補丁軟件包。黑客當(dāng)然也沒閑著，就像賽跑一樣，他們力圖在用戶打好補丁之前，就實施入侵。所以，你一旦看到系統(tǒng)廠商以及其他應(yīng)用軟件供應(yīng)商要求打補丁的通告后，可千萬別掉以輕心，別發(fā)懶，應(yīng)該馬上動手及時打好補丁，防患于未然。

對于你安裝的殺毒軟件，也要及時升級，讓你的殺毒軟件能夠殺掉最新的病毒，這樣才能做到“魔高一尺，道高一丈”。

所謂“三檢”，就是時刻注意觀察留意系統(tǒng)的異常情況。如：

·有時會突然發(fā)現(xiàn)你的鼠標(biāo)不聽使喚，在你不動鼠標(biāo)的時候，鼠標(biāo)也會移動，并且還會點擊有關(guān)按鈕進行操作。

·正常上網(wǎng)時，突然感覺很慢，硬盤燈在閃爍，就像你平時在拷貝文件。

·在你沒有使用網(wǎng)絡(luò)資源時，你發(fā)現(xiàn)網(wǎng)卡燈在不停閃爍，或者屏幕右下角的網(wǎng)卡圖標(biāo)在閃。

·上網(wǎng)過程中計算機自動重啟。

·電腦運行過程中或者開機的時候彈出莫名其妙的對話框。

·出現(xiàn)異常情況后，按“Ctr”+“Alt”+“Del”鍵，打開“任務(wù)管理器”，檢查進程隊列，如發(fā)現(xiàn)陌生可疑，且占用資源較多的進程，即表明，可能被“掛馬”或中病毒了。

根據(jù)以上現(xiàn)象進行初步的診斷，雖然不十分準(zhǔn)確，但仍具有參考價值，需引起我們警覺。

接下來，我們可以借助一些軟件來觀察網(wǎng)絡(luò)活動情況，以檢查系統(tǒng)是否被入侵。

·注意檢查防火墻軟件的工作狀態(tài)。如果發(fā)現(xiàn)自己根本沒有使用的軟件在連接到遠(yuǎn)程計算機，就要小心了。

·使用一些工具軟件（如tcpview），可以非常清晰的查看當(dāng)前網(wǎng)絡(luò)的活動狀態(tài)。一般的木馬連接，是可以通過這個工具查看到結(jié)果的。　

·使用殺毒軟件進行在線診斷，特別注意全面診斷的進程項。殺毒軟件會對每一項進行安全評估，當(dāng)遇到未知項時，需要特別小心。

所謂“四清”，指的是你如果不幸已經(jīng)成為電腦肉雞，那么，要想法自救，清除病毒，盡快從“肉雞狀態(tài)”中解脫出來。

下面介紹一個典型的自救操作流程，可供參考：

一、正在上網(wǎng)的用戶，發(fā)現(xiàn)異常應(yīng)首先馬上斷開連接。

斷開連接可以在降低自己的損失的同時，也避免了病毒向更多的在線電腦傳播。

二、中毒后，應(yīng)馬上備份、轉(zhuǎn)移文檔和郵件等。

不管這些文件是否帶毒，你都應(yīng)該備份，因為有些病毒是專門針對某個殺毒軟件設(shè)計的，一運行就會破壞其他文件，所以先備份是防患于未然的措施。等你清除完硬盤內(nèi)的病毒后，再來慢慢分析處理這些額外備份的文件較為妥善。

三、查殺病毒。

建議用兩種以上殺毒工具交叉清除病毒。由于開發(fā)時候側(cè)重點不同、使用的殺毒引擎不同，各種殺毒軟件都是有自己的長處和短處的，交叉使用效果較理想。

　四、鏡像恢復(fù)操作系統(tǒng)。

有經(jīng)驗的電腦用戶都會在平時用Ghost軟件做了Windows的鏡像克隆備份。這時候用Ghost備份來做恢復(fù)，所還原的操作系統(tǒng)是最保險的。這樣一做連潛在的未殺光的木馬程序也順便清理了。當(dāng)然，這要求你的Ghost備份絕對清潔可靠。要是在做Ghost備份的時候把木馬也備份了可就前功盡棄了。

　五、再次恢復(fù)系統(tǒng)后，更改你的網(wǎng)絡(luò)相關(guān)密碼。

包括登錄網(wǎng)絡(luò)的用戶名、密碼，郵箱的密碼和其他相關(guān)密碼，防止黑客用上次入侵過程中得到的密碼進入你的系統(tǒng)。另外，因為很多蠕蟲病毒發(fā)作會向外隨機發(fā)送你的信息，所以及時地更改是必要的