近來黑客攻擊事件頻頻發生,我們身邊的朋友也不斷有QQ、E-mail和游戲賬號被盜事件發生。現在的黑客技術有朝著大眾化方向發展的趨勢,能夠掌握攻擊他人系統技術的人越來越多了,只要你的電腦稍微有點系統Bug或者安裝了有問題的應用程序,就有可能成為他人的肉雞。如何給一台上網的機器查漏洞並做出相應的處理呢?
一、要命的端口
計算機要與外界進行通信,必須通過一些端口。別人要想入侵和控制我們的電腦,也要從某些端口連接進來。某日筆者查看了一位朋友的系統,吃驚地發現開放了139、445、3389、4899等重要端口,要知道這些端口都可以為黑客入侵提供便利,尤其是4899,可能是入侵者安裝的後門工具Radmin打開的,他可以通過這個端口取得系統的完全控制權。
在Windows 98下,通過“開始”選取“運行”,然後輸入“command”(Windows 2000/XP/2003下在“運行”中輸入“cmd”),進入命令提示窗口,然後輸入netstat/an,就可以看到本機端口開放和網絡連接情況。
那怎麼關閉這些端口呢?因為計算機的每個端口都對應著某個服務或者應用程序,因此只要我們停止該服務或者卸載該程序,這些端口就自動關閉了。例如可以在“我的電腦 →控制面板→計算機管理→服務”中停止Radmin服務,就可以關閉4899端口了。
如果暫時沒有找到打開某端口的服務或者停止該項服務可能會影響計算機的正常使用,我們也可以利用防火牆來屏蔽端口。以天網個人防火牆關閉4899端口為例。打開天網“自定義IP規則”界面,點擊“增加規則”添加一條新的規則,在“數據包方向”中選擇“接受”,在“對方IP地址”中選擇“任何地址”,在TCP選項卡的本地端口中填寫從4899到0,對方端口填寫從0到0,在“當滿足上面條件時”中選擇“攔截”,這樣就可以關閉4899端口了。其他的端口關閉方法可以此類推。
二、敵人的“進程”
在Windows 2000下,可以通過同時按下“Ctrl Alt Del”鍵調出任務管理器來查看和關閉進程;但在Windows 98下按“Ctrl Alt del”鍵只能看到部分應用程序,有些服務級的進程卻被隱藏因而無法看到了,不過通過系統自帶的工具msinfo32還是可以看到的。在“開始→運行”裡輸入msinfo32,打開“Microsoft 系統信息”界面,在“軟件環境”的“正在運行任務”下可以看到本機的進程。但是在Windows 98下要想終止進程,還是得通過第三方的工具。很多系統優化軟件都帶有查看和關閉進程的工具,如春光系統修改器等。
但目前很多木馬進程都會偽裝系統進程,新手朋友很難分辨其真偽,所以這裡推薦一款強大的殺木馬工具──“木馬克星”,它可以查殺8000多種國際木馬,,1000多種密碼偷竊木馬,功能十分強大,實在是安全上網的必備工具!
三、小心,遠程管理軟件有大麻煩
現在很多人都喜歡在自己的機器上安裝遠程管理軟件,如Pcanywhere、Radmin、VNC或者Windows自帶的遠程桌面,這確實方便了遠程管理維護和辦公,但同時遠程管理軟件也給我們帶來了很多安全隱患。例如Pcanywhere 10.0版本及更早的版本存在著口令文件*.CIF容易被解密(解碼而非爆破)的問題,一旦入侵者通過某種途徑得到了*.CIF文件,他就可以用一款叫做Pcanywherepwd的工具破解出管理員賬號和密碼。
而Radmin則主要是空口令問題,因為Radmin默認為空口令,所以大多數人安裝了Radmin之後,都忽略了口令安全設置,因此,任何一個攻擊者都可以用Radmin客戶端連接上安裝了Radmin的機器,並做一切他想做的事情。
Windows系統自帶的遠程桌面也會給黑客入侵提供方便的大門,當然是在他通過一定的手段拿到了一個可以訪問的賬號之後。
可以說幾乎每種遠程管理軟件都有它的問題,如本報43期G12版介紹的強大的遠程管理軟件DameWare NT Utilitie。它工具包中的DameWare Mini Remote Control某些版本也存在著緩沖區溢出漏洞,黑客可以利用這個漏洞在系統上執行任意指令。所以,要安全地遠程使用它就要進行IP限制。這裡以Windows 2000遠程桌面為例,談談6129端口(DameWare Mini Remote Control使用的端口)的IP限制:打開天網“自定義IP規則”界面,點擊“增加規則”添加一條新的規則。在“數據包方向”中選擇“接受”,在“對方IP地址”中選擇“指定地址”,然後填寫你的IP地址,在TCP選項卡的本地端口中填寫從6129到0,對方端口填寫從0到0,在“當滿足上面條件時”中選擇“通行”,這樣一來除了你指定的那個IP(這裡假定為192.168.1.70)之外,別人都連接不到你的電腦上了。
安裝最新版的遠程控制軟件也有利於提高安全性,比如最新版的Pcanywhere的密碼文件采用了較強的加密方案。
四、“專業人士”幫你免費檢測
很多安全站點都提供了在線檢測,可以幫助我們發現系統的問題,如天網安全在線推出的在線安全檢測系統──天網醫生,它能夠檢測你的計算機存在的一些安全隱患,並且根據檢測結果判斷你系統的級別,引導你進一步解決你系統中可能存在的安全隱患。
天網醫生可以提供木馬檢測、系統安全性檢測、端口掃描檢測、信息洩漏檢測等四個安全檢測項目,可能得出四種結果:極度危險、中等危險、相當安全和超時或有防火牆。其他知名的在線安全檢測站點還有千禧在線以及藍盾在線檢測。另外,IE的安全性也是非常重要的,一不小心就有可能中了惡意代碼、網頁木馬的招兒,就是一個專門檢測IE是否存在安全漏洞的站點,大家可以根據提示操作。
五、自己掃描自己
天網醫生主要針對網絡新手,而且是遠程檢測,速度比不上本地,所以如果你有一定的基礎,最好使用安全檢測工具(漏洞掃描工具)手工檢測系統漏洞。
我們知道,黑客在入侵他人系統之前,常常用自動化工具對目標機器進行掃描,我們也可以借鑒這個思路,在另一台電腦上用漏洞掃描器對自己的機子進行檢測。功能強大且容易上手的國產掃描器首推X-Scan,當然小蓉流光也很不錯。
以X-Scan為例,它有開放端口、CGI漏洞、IIS漏洞、RPC漏洞、SSL漏洞、SQL-SERVER等多個掃描選項,更為重要的是列出系統漏洞之外,它還給出了十分詳盡的解決方案,我們只需要“按方抓藥”即可。
例如,用X-Scan對隔壁某台計算機進行完全掃描之後,發現如下漏洞:
[192.168.1.70]: 端口135開放: Location Service
[192.168.1.70]: 端口139開放: NET BIOS Session Service
[192.168.1.70]: 端口445開放: Mi crosoft-DS
[192.168.1.70]: 發現 NT-Server弱口令: user/[空口令]
[192.168.1.70]: 發現 “NetBios信息”
從其中我們可以發現,Windows 2000弱口令的問題,這是個很嚴重的漏洞。NetBios信息暴露也給黑客的進一步進攻提供了方便,解決辦法是給User賬號設置一個復雜的密碼,並在天網防火牆中關閉135~139端口。
六、別小瞧Windows Update
微軟通常會在病毒和攻擊工具泛濫之前開發出相應的補丁工具,只要點擊“開始”菜單中的Windows Update,就到了微軟的Windows Update網站,在這裡下載最新的補丁程序。所以每周訪問Windows Update網站及時更新系統一次,基本上就能把黑客和病毒拒之門外。