萬盛學電腦網

 萬盛學電腦網 >> 應用技巧 >> IRC攻防手冊

IRC攻防手冊

IRC 攻防手冊 
本文將對目前網絡上越來越流行的IRC聊天的安全做一點分析,如果你還不知道什麼是IRC,可以訪問相關站點http://xirc.yeah.net),也可以訪問我一年多沒有更新的站點http://eirc.yeah.net ,我這裡不再重復解釋這些問題。由於目前IRC的大部分用戶都是使用Mirc客戶端的,所以這裡我們以Mirc為前提來討論,對於使用別的IRC客戶端的MS系統用戶,我們強烈推薦你使用Mirc,因為它強大的功能使得你可以很容易的配置並使用它(主要是別的客戶端我不會用,#%!……×※?:))))。最新版本的Mirc 可以到http://www.mirc.com 下載。好了,廢話少說,Let’s go~~ 


IRC安全常識 

這部分介紹一些基本的IRC安全知識,以及Mirc的一些安全設置。 
1.在陌生的IRC裡面不要使用你的真名字,也不要隨意透露你的電話啊,家庭住址啊,QQ號碼什麼什麼的,免得半夜鬼敲門。 
2.IRC的用戶信息不要如實的填寫。特別是名字和email。Mirc用戶按alt+o,在彈出的對話框的連接選項中可以修改個人信息。名字只要不是你的真名就可以,最好呢就是填上你常用的nick,email填 [email protected] 好了。接著把下面那個 隱藏模式 選上,用處不是很大,好過沒有。 
3.不要輕易的相信你不熟悉的人的話。這點可以引起很多的irc問題,比如暴露你的ip,或者使你的電腦藍屏之類的。舉例來說: 
經常可以看到這樣的話: 
 請大家雙擊-->http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
更有甚者,把http後面的內容改成和背景色一樣。比如白色,你看到的就是這樣的 
 請大家雙擊-- 很好看的哦。 
那個URL可以連到他自己的電腦上,用來騙取你的ip,也可以是炸彈的地址,引誘你上勾,一旦你點了,機器立刻就藍屏了。 
4.不要和陌生人使用DCC chat 也不要輕易的接收人家Dcc給你的文件,特別是一些可以運行的文件(以"exe", "vbs", "com", "bat", "pif", "scr", "lnk", "js"等為後綴的文件),很可能是惡意文件。在Mirc中 按 alt+O -> DCC 把發送請求和聊天請求都選成 顯示聊天對話框,如果選擇自動獲得/接受的話,一來容易收到惡意程序,二來也給攻擊者使用DCC flood提供了方便。DCC 選項中的 文件夾 子選項可以設置能接收的文件類型,推薦為:打開 忽略文件除了:*.jpg,*.gif,*.png,*.bmp,*.txt,*.log,*.wav,*.mid,*.mp3,*.zip 。 


關於IRC木馬 
除了網上流行的一些常見木馬程序,比如冰河,sub7等,我們還要注意一些不常見的針對IRC的木馬和病毒。大部分木馬都有很好的隱蔽性,而且,別人可以通過它遠程控制你的機器,利用它來竊取你的信息,奪IRC頻道權限,或者是利用你的機器發動DOS攻擊等,總之,一旦中了木馬,愛機的命運就掌握在別人手上了。木馬一般不會自動運行,往往綁定在別的一些應用程序中,一旦你運行了這些帶木馬的程序,木馬也就啟動了。我們這裡把一些有名的IRC木馬和病毒列舉出來,希望能為保護你的愛機做點“貢獻”。 
1.Srvcp.exe 
如果你發現你突然以”Drones”或”clonebots”的名義被殺線(K-lined),那麼你很可能就是中了這玩意了。 
2.Link.vbs 
Link.vbs是一段VBScript程序。它會把自己發送到你的Outlook地址簿裡的每個人。同時,它也會在Mirc和Pirch上增加腳本,使得別人一加入你所在的頻道,它就會自動地用DCC向來者發送自己。 
3.Back Orifice 和 NetBus 
功能強大的木馬,無須多說,目前的殺毒軟件都能夠殺除它們,到pchome.net下載金山毒霸即可。 
4. Script.ini 
Script.ini 是Mirc 默認的腳本文件,很容易成為目標。Mirc會自動加載這個文件。並且有很多的功能,比如竊聽你和別人的談話,利用你的mirc來執行IRC 命令,搶占頻道,並且會自動向IRC用戶分發自己,以達到傳播的目的。 
5. dmsetup.exe 
常把自己偽裝成”xxxxx.jpg.com”, 這樣在95/98裡面看上去將是一張jpg圖片,大小大約80k。 
一旦木馬運行,它首先會把自己復制到 c:\windoom.exe c:\windows\Freeporn.exe ,在autoexec.bat文件最後增加2行內容,然後會在你的C:\ 和 c:\program files 文件夾裡面創建幾萬個文件夾出來,具體數目看你的硬盤容量了 L. 
6.除了上面這些,還有很多知名mirc木馬,具體的可以訪問PC100的站點http://go.163.com/~kingpc/irchelp/av/ 和http://www.irchelp.org/irchelp/security/trojan.html 。 
其實,有過mirc script 編程經驗的人都知道,利用mirc的腳本,是很容易寫出木馬的。以下幾點可以防止機器被木馬感染: 
1.不要下載那些你不能確定是否安全的文件,特別是一些個人站點上的東西,小心“糖衣炮彈”,Mirc script也不要隨意使用。頻道裡面打出來的URL也不要隨意的點擊。 
2.下載的文件要注意查看擴展名,windows默認是隱藏最後一個擴展名的,所以有的時候你拿到 plmm.jpg的時候,不要急著看,先看看擴展名也無妨。 
3.不要使用Mirc的DCC 自動接收功能。 
4.在mirc頻道中,別人讓你打什麼命令,如果你不熟悉那個命令就不要打他。 
5.安裝一個殺毒軟件,如 金山毒霸 


關於IRC聊天室裡暴露IP的問題 
對與個人上網來說,IP一旦暴露了,炸彈隨之也就來了。網上很多人都會很樂意地幫你省網費(炸你下線),不過,和MM聊天正在興頭上,斷了線總是一件不爽地事情。雖然斷線對你地電腦裡面地東西沒有什麼損失,不像名病毒和木馬,又刪又改的,但是我想各位都不會希望自己成為被炸的對象。那麼,在IRC中是如何暴露自己的IP地址的呢?方法主要可以分兩類,一類是騙,一類是查。如何騙呢? 
1.在自己的Mirc裡面輸入命令 //echo $ip 看看。是不是出來的ip了?對了!,那個ip就是你自己在網上的IP地址,當然,用這個命令別人是看不到的。把 echo 改成 //say 或者 //me 之類的試試看,整個頻道的人就都知道了。以前我在聊天室裡面說:大家打 //say $ip 看看,很有意思的,名字會變色呢,刷的就出來好些ip來。 
2.大家都知道很多論壇 ,bbs都會把訪問者的IP如實的記錄下來,而且別人可以查看。所以,只要騙別人訪問某個bbs,論壇,然後區看記錄就可以了。 
3.在自己的機器上開上查ip的工具,然後,騙人家訪問你的機器。人家一旦訪問了你的機器,嘟~!IP蹦出來了。 
以上這些只要你自己小心,不要隨意相信別人的話就可以了。用查的方法,自己恐怕就無能為力了。如何查呢?先來熟悉2個IRC命令: 
/who /whois 

/who springold 

* springold H [email protected] :0 coolove 
springold 結束 /WHO 列表 


/whois springold 

springold 是[email protected] * coolove 
springold 正在使用 IRC.FastNet.Org FastNet IRC Server 
springold 已經空閒 27mins 55secs, 登錄在 Sat Jun 02 18:53:21 
springold 結束 /WHOIS 命令 

看到了麼? 兩個命令的執行結果裡面都有 
[email protected] 
其中的127.0.0.FastNet-14601就是你的IP,當然這個是mask過的,最後一位無法得知。這是因為連進服務器的時候,執行過 /mode nick +x 的結果。 
我們現在把 +x 去掉看看 
用戶spirngold運行下面的命令 
/mode springold –x 
[19:23:26] *** springold 設定模式: -x 
ok,執行成功。 
現在切換到另外一個用戶test的mirc裡。 
/who springold 

* springold H [email protected] :0 coolove 
springold 結束 /WHO 列表 


/whois springold 

springold 是[email protected] * coolove 
springold 正在使用 IRC.FastNet.Org FastNet IRC Server 
springold 已經空閒 35mins 34secs, 登錄在 Sat Jun 02 18:53:21 
springold 結束 /WHOIS 命令 

我是在本機測試的。可以看到,執行過 /mode nick –x 以後,對ip地址的mask也去掉了,任何人只要執行 /whois yournick 就可以得到你的ip。所以在連進IRC的時候,請先執行下面的命令: 
/mode yournick +x 
但是,是不是+x之後IP就安全了呢?完全不是的。還是有別的方法可以查清楚最後那個mask過的數字。以前很多的IRC服務器都有個漏洞,利用 /who 命令就可以完全的查出來別人的IP,現在國內的IRC服務器好些都沒有這個漏洞了,不過很多IRC經常更換服務器軟件,難保以後不碰上。這裡只給點提示 
執行過上面的/whois 之後我們得到了一個mask過的127.0.0.FastN
copyright © 萬盛學電腦網 all rights reserved