wordpress變?nèi)怆u的簡(jiǎn)單介紹

成了肉雞該怎么辦.?

禁雞！檢查隱藏的“肉雞”——4招查出隱藏在電腦中的木馬

創(chuàng)新互聯(lián)公司長(zhǎng)期為上1000家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為洛扎企業(yè)提供專業(yè)的成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)，洛扎網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

天涯 (2007年5月14日 第19期)

木馬在互聯(lián)網(wǎng)上肆虐，我們一不小心就會(huì)成為黑客手中的肉雞。到時(shí)自己的電腦成為被黑客控制的傀儡，而且自己的個(gè)人隱私也完全暴露。拒絕黑客控制，我的電腦我做主。在五一節(jié)后這一黑客大肆捕獲肉雞的時(shí)段開(kāi)始了，我們針對(duì)木馬特點(diǎn)，用4招自檢避免成為黑客肉雞。

小知識(shí)：肉雞實(shí)際上就是中了黑客的木馬，或者被安裝了后門程序的電腦。黑客可以像計(jì)算機(jī)管理員一樣對(duì)肉雞進(jìn)行所有操作?，F(xiàn)在許多人把有WEBSHELL權(quán)限的遠(yuǎn)程主機(jī)也叫做肉雞。

第一招：系統(tǒng)進(jìn)程辨真?zhèn)?/p>

當(dāng)前流行的木馬，為了更好地對(duì)自身加以隱藏，使用了很多方法進(jìn)行自身隱蔽，其中最常見(jiàn)的就是進(jìn)程隱藏。這種方法不僅讓人很難通過(guò)常見(jiàn)的檢查手法查找到，如果用戶操作不當(dāng)?shù)脑掃€可能將系統(tǒng)進(jìn)程刪除，造成系統(tǒng)不穩(wěn)定甚至崩潰。常見(jiàn)的這類木馬程序包括灰鴿子、守望者、上興木馬等。

自檢方法

黑客為了對(duì)木馬進(jìn)行更好的偽裝，常常將木馬名稱設(shè)置得和系統(tǒng)進(jìn)程名稱十分相似。通常系統(tǒng)進(jìn)程都是有System用戶加載的，如果我們發(fā)現(xiàn)某個(gè)“系統(tǒng)進(jìn)程”是由當(dāng)前用戶加載的，那么這個(gè)“系統(tǒng)進(jìn)程”一定有問(wèn)題。

另外我們也可以從系統(tǒng)進(jìn)程的路徑來(lái)進(jìn)行分辨，比如正常的系統(tǒng)進(jìn)程svchost.exe應(yīng)該在“c:\Windows\system32”目錄下，如果用戶發(fā)現(xiàn)它的路徑在其他目錄下就表明該進(jìn)程有問(wèn)題。

除此以外，現(xiàn)在的木馬很注意對(duì)自身服務(wù)端程序的保護(hù)，我們通過(guò)“任務(wù)管理器”很可能查看不到木馬的服務(wù)端進(jìn)程，因?yàn)槟抉R程序通過(guò)線程插入等技術(shù)對(duì)服務(wù)端程序進(jìn)行了隱藏。

在這里樹(shù)樹(shù)建議大家使用IceSword（下載地址：）對(duì)進(jìn)程進(jìn)行管理。它除了可以查看各種隱藏的木馬后門進(jìn)程，還可以非常方便地終止采用多線程保護(hù)技術(shù)的木馬進(jìn)程。

進(jìn)入IceSword點(diǎn)擊“文件→設(shè)置”命令，去掉對(duì)話框中的“不顯示狀態(tài)為Deleting的進(jìn)程”選項(xiàng)。點(diǎn)擊程序主界面工具欄中的“進(jìn)程”按鈕，在右邊進(jìn)程列表中就可以查看到當(dāng)前系統(tǒng)中所有的進(jìn)程，隱藏的進(jìn)程會(huì)以紅色醒目地標(biāo)記出（圖1）。

圖1

另外，如果發(fā)現(xiàn)多個(gè)IE進(jìn)程、Explore進(jìn)程或者Lsass進(jìn)程，那么我們就要留意了。因?yàn)楹芏嗄抉R都會(huì)偽裝成這幾個(gè)進(jìn)程訪問(wèn)網(wǎng)絡(luò)。

應(yīng)對(duì)方法

在IceSword的進(jìn)程列表中選擇隱藏的木馬程序，點(diǎn)擊鼠標(biāo)右鍵中的“強(qiáng)行結(jié)束”命令即可結(jié)束這個(gè)進(jìn)程。然后點(diǎn)擊IceSword的“文件”按鈕，通過(guò)程序模擬的資源管理器命令，找到并刪除木馬程序的文件即可。]

第二招：?jiǎn)?dòng)項(xiàng)中細(xì)分析

一些木馬程序通過(guò)系統(tǒng)的相關(guān)啟動(dòng)項(xiàng)目，使得相關(guān)木馬文件也可以隨機(jī)啟動(dòng)，這類木馬程序包括TinyRAT、Evilotus、守望者等。

檢方法

運(yùn)行安全工具SysCheck（下載地址：），點(diǎn)擊“服務(wù)管理”按鈕后即可顯示出當(dāng)前系統(tǒng)中的服務(wù)信息，如果被標(biāo)注為紅色的就是增加的非系統(tǒng)服務(wù)。通過(guò)“僅顯示非微軟”選項(xiàng)就可以屏蔽系統(tǒng)自帶的服務(wù)，這樣惡意程序添加的服務(wù)項(xiàng)就可以立刻現(xiàn)形。

點(diǎn)擊“修改時(shí)間”或“創(chuàng)建時(shí)間”選項(xiàng)，就可以讓用戶馬上查看到新建的系統(tǒng)服務(wù)（圖2）。從圖中我們可以看到一個(gè)被標(biāo)注為紅色、名稱為Windows Media Player的系統(tǒng)服務(wù)，該服務(wù)所指向的是一個(gè)不明程序路徑。因此可以確定該服務(wù)就是木馬程序的啟動(dòng)服務(wù)。

圖2

通過(guò)安全工具SysCheck的“活動(dòng)文件”項(xiàng)目，可以顯示出包括啟動(dòng)項(xiàng)等信息在內(nèi)的、容易被惡意程序改寫的系統(tǒng)注冊(cè)表鍵值。比如現(xiàn)在某些惡意程序，通過(guò)修改系統(tǒng)的“l(fā)oad”項(xiàng)進(jìn)行啟動(dòng)，或者修改系統(tǒng)的BITS服務(wù)進(jìn)行啟動(dòng)。由于SysCheck程序只是關(guān)注改寫了的鍵值，所以在不同的系統(tǒng)上顯示的內(nèi)容并不一樣。

應(yīng)對(duì)方法

進(jìn)入SysCheck點(diǎn)擊鼠標(biāo)右鍵中的“中止服務(wù)”選項(xiàng)，中止該木馬程序的啟動(dòng)服務(wù)，接著點(diǎn)擊“刪除服務(wù)”命令刪除指定的服務(wù)鍵值。然后點(diǎn)擊“文件瀏覽”按鈕，由于SysCheck采用了反HOOK手段，所以內(nèi)置的資源管理器可以看到隱藏的文件或文件夾，這樣就方便了我們進(jìn)行隱藏文件的刪除工作。按照木馬服務(wù)所指的文件路徑，找到文件后點(diǎn)擊鼠標(biāo)右鍵中的“刪除”按鈕即可。

第三招：系統(tǒng)鉤子有善惡

木馬程序之所以能成功地獲取用戶賬號(hào)信息，就是通過(guò)鉤子函數(shù)對(duì)鍵盤以及鼠標(biāo)的所有操作進(jìn)行監(jiān)控，在辨別程序類型后盜取相應(yīng)的賬號(hào)信息。也就是說(shuō)，只要擁有鍵盤記錄功能的木馬程序，就肯定會(huì)有系統(tǒng)鉤子存在。

自檢方法

通過(guò)游戲木馬檢測(cè)大師（下載地址：）的“鉤子列表”功能，可以顯示系統(tǒng)已經(jīng)安裝的各種鉤子，這樣可以顯示出當(dāng)前網(wǎng)絡(luò)中流行的主流木馬。

點(diǎn)擊“鉤子列表”標(biāo)簽進(jìn)行鉤子信息的查看，并且不時(shí)點(diǎn)擊鼠標(biāo)右鍵中的“刷新”命令對(duì)系統(tǒng)鉤子進(jìn)行刷新。因?yàn)槟抉R程序只有在鍵盤記錄的時(shí)候才會(huì)啟用鉤子，如果大家中了木馬，那么很快就會(huì)在列表中有所發(fā)現(xiàn)了。在本例中一個(gè)名為WH_JOURNALRECORD可疑的鉤子被程序以顯著顏色標(biāo)記出來(lái)（圖3）。

圖3

這個(gè)鉤子是用來(lái)監(jiān)視和記錄輸入事件的，黑客可以使用這個(gè)鉤子記錄連續(xù)的鼠標(biāo)和鍵盤事件。在此時(shí)，我們就應(yīng)該引起重視，不要再使用QQ等需要輸入密碼的程序。

應(yīng)對(duì)方法

清除方法比較簡(jiǎn)單，只要記錄下動(dòng)用系統(tǒng)鉤子的進(jìn)程PID，通過(guò)PID值找到該木馬程序的進(jìn)程后結(jié)束該進(jìn)程，再輸入“Regedit”打開(kāi)注冊(cè)表編輯器，并點(diǎn)擊“編輯”菜單中的“查找”命令，在此窗口搜索該木馬程序進(jìn)程的相關(guān)消息，將找到的所有信息全部刪除。

重新啟動(dòng)計(jì)算機(jī)，只要在安全模式下刪除系統(tǒng)目錄中的木馬文件信息即可。當(dāng)然也可以通過(guò)前面幾種方式進(jìn)行相互檢測(cè)，這樣可以更加有效地清除系統(tǒng)中的木馬程序。

第四招：數(shù)據(jù)包里藏乾坤

現(xiàn)在，越來(lái)越多的木馬程序利用了Rootkit技術(shù)。Rootkit是一種集合了系統(tǒng)間諜程序、病毒以及木馬等特性的一種惡意程序，它利用操作系統(tǒng)的模塊化技術(shù)，作為系統(tǒng)內(nèi)核的一部分進(jìn)行運(yùn)行，有些Rootkits可以通過(guò)替換DLL文件或更改系統(tǒng)來(lái)攻擊Windows平臺(tái)。

自檢方法

同樣我們還是使用游戲木馬檢測(cè)大師這款程序，利用它的“發(fā)信檢測(cè)”功能來(lái)判斷自己的系統(tǒng)中是否被安裝了木馬程序。在使用該功能以前，首先需要判斷系統(tǒng)的網(wǎng)卡是否工作正常。

我們關(guān)閉其他一切會(huì)擾亂網(wǎng)絡(luò)數(shù)據(jù)捕捉的程序，然后去除“只捕獲smtp發(fā)信端口（25）和Web發(fā)信端口（80）”選項(xiàng)，點(diǎn)擊“開(kāi)始”按鈕就可以進(jìn)行數(shù)據(jù)包的捕捉。如果這時(shí)捕捉到有數(shù)據(jù)包發(fā)出，就證明自己的系統(tǒng)中存在木馬程序。

根據(jù)木馬程序連接方式的不同，捕捉到的數(shù)據(jù)信息也不盡相同，但是捕捉到客戶端程序的IP地址還是沒(méi)有問(wèn)題的（圖4）。用過(guò)嗅探器的朋友都知道，我們可以通過(guò)設(shè)置過(guò)濾病毒特征數(shù)據(jù)包來(lái)發(fā)現(xiàn)蠕蟲病毒，當(dāng)然這種方法需要一定的相關(guān)知識(shí)，這里就不再敘述了。

圖4

應(yīng)對(duì)方法

對(duì)于這種利用Rootkit技術(shù)的木馬程序，可以直接通過(guò)一些Rootkit檢測(cè)工具進(jìn)行查看。比如檢測(cè)工具Rootkit Detector（下載地址：），它通過(guò)程序內(nèi)置的MD5數(shù)據(jù)庫(kù)，來(lái)比較所檢測(cè)到的Windows 2000/XP/2003 系統(tǒng)全部服務(wù)和進(jìn)程的MD5校驗(yàn)值，這樣就可以檢測(cè)出系統(tǒng)下的Rootkit程序。

在命令提示符窗口運(yùn)行命令：rd.exe，程序會(huì)自動(dòng)對(duì)當(dāng)前系統(tǒng)進(jìn)行檢測(cè)。程序首先會(huì)統(tǒng)計(jì)出系統(tǒng)中服務(wù)的數(shù)目、當(dāng)前的進(jìn)程，以及被隱藏的進(jìn)程，并且將系統(tǒng)當(dāng)前的進(jìn)程用列表顯示出來(lái)，然后進(jìn)入安全模式進(jìn)行刪除即可。

常見(jiàn)木馬以及病毒專殺工具

在這里，我們向大家提供能速殺流行木馬以及病毒的專殺工具。我們可以根據(jù)需要，搭配使用這些專殺工具，讓自己的電腦更加安全。

灰鴿子專殺工具

瑞星：

熊貓燒香專殺工具

金山：

麥英病毒專殺工具

江民：

威金病毒專殺工具

江民：

-------------------------------------------------------------------------------------------------------------------

當(dāng)心PC變成“肉雞”——巧用WinRAR來(lái)抓雞

湖南 王強(qiáng) (2007年9月10日 第36期)

所屬主題：抓雞系列

殺傷力值：★★

操作難度：較低

適合讀者：普通讀者

WinRAR已經(jīng)成為用戶電腦中必裝的軟件，可你想過(guò)黑客會(huì)利用它來(lái)抓雞嗎？這是真的，只需一個(gè)小小的WinRAR漏洞利用程序，就可以把.rar格式的文件變成抓雞工具。一旦運(yùn)行了文件就會(huì)變成黑客的肉雞。這是目前抓雞比較有效的方法之一，我們應(yīng)該如何防范呢？下面我們就來(lái)揭開(kāi)謎底。

小知識(shí)：抓雞是黑客常用術(shù)語(yǔ)，意思是指主動(dòng)通過(guò)某些程序（如木馬程序或遠(yuǎn)程控制程序的客戶端）或技術(shù)手段控制用戶的PC機(jī)，被控制的PC機(jī)稱之為肉雞。

為什么要用WinRAR漏洞抓雞

網(wǎng)絡(luò)上流傳有很多可執(zhí)行文件捆綁工具，這些工具雖然可以方便的將兩個(gè)或多個(gè)可執(zhí)行文件捆綁為一個(gè)程序，并且可以進(jìn)行簡(jiǎn)單的偽裝，但是其原理卻決定了其不可能成為完美的捆綁工具，目前主流的殺毒軟件都可以輕易地將它清除掉。

而用WinRAR漏洞捆綁木馬來(lái)抓雞就很有優(yōu)勢(shì)，因?yàn)槠胀ɡ墮z測(cè)都是用16進(jìn)制編輯工具查看程序PE頭進(jìn)行判定的（大部分捆綁程序檢測(cè)工具用的就是這個(gè)原理），但是這條不適合這個(gè)漏洞。

小提示：該漏洞的原理是由于WinRAR在處理LHA格式文件時(shí)存在邊界條件錯(cuò)誤，而若將一個(gè)經(jīng)處理后文件改為長(zhǎng)文件名并附加成LHA文件，再調(diào)用相應(yīng)參數(shù)生成新的壓縮包后，被WinRAR打開(kāi)的時(shí)候就會(huì)導(dǎo)致本地緩沖溢出。

當(dāng)用戶點(diǎn)擊壓縮包時(shí)會(huì)出現(xiàn)錯(cuò)誤提示（圖1），這時(shí)木馬程序就已經(jīng)悄悄運(yùn)行了，肉雞就到手了。所以如果我們用這個(gè)漏洞來(lái)抓雞，成功率是十分高的，比原始的3389端口抓雞的成功率高多了。

圖1

如何用WinRAR漏洞抓雞

Step1：將WinRAR的利用程序放到任意目錄中，例如C盤根目錄。

Step2：?jiǎn)螕舨藛沃小伴_(kāi)始→運(yùn)行”命令，輸入“cmd”運(yùn)行“命令提示符”。將光標(biāo)切換到“c：”，輸入“rar.exe”查看利用程序的使用方法。其使用方法為：“rar [選項(xiàng)] ”。

其中“選項(xiàng)”可以指定生成的文件名以及選擇溢出的操作系統(tǒng)等操作。我們使用默認(rèn)的配置，可以不輸入，有需要的話可以添加相應(yīng)的“選項(xiàng)”。

Step3：將配置好的木馬服務(wù)端程序也放到C盤根目錄，并命名為123.exe。在“命令提示符”中輸入命令：“rar 123.exe”，如果回顯中出現(xiàn)“All Done! Have fun!”字樣即表示捆綁有木馬的WinRAR文件生成了（圖2）。

圖2

Step4：最后我們要做的就是將這個(gè)捆綁有木馬程序的WinRAR文件發(fā)送給別人，當(dāng)對(duì)方運(yùn)行這個(gè)WinRAR文件時(shí)，將會(huì)出現(xiàn)錯(cuò)誤，但是木馬已經(jīng)悄悄地在對(duì)方系統(tǒng)后臺(tái)運(yùn)行了。對(duì)方的電腦也就成了我們的肉雞（圖3）。

圖3

不過(guò)要充分利用這個(gè)漏洞，光靠觸發(fā)漏洞是不夠的，木馬的配置也很重要，例如要設(shè)置運(yùn)行后刪除自身，安裝服務(wù)端時(shí)不出現(xiàn)提示等，這樣當(dāng)用戶運(yùn)行惡意WinRAR文件時(shí)只會(huì)出現(xiàn)WinRAR的錯(cuò)誤提示，是絲毫感覺(jué)不到木馬運(yùn)行的。接著我們還要給木馬加上免殺，例如加殼處理和修改特征碼等，否則被殺毒軟件檢測(cè)出來(lái)豈不前功盡棄。

小提示：運(yùn)行漏洞利用工具時(shí)請(qǐng)先關(guān)閉殺毒軟件，因?yàn)闅⒍拒浖?huì)把它當(dāng)作黑客工具給清除掉。

防范技巧

1.不要運(yùn)行陌生人發(fā)過(guò)來(lái)的文件。這是老生常談的問(wèn)題了，只不過(guò)以前只針對(duì)可執(zhí)行文件，現(xiàn)在連WinRAR也不能輕易運(yùn)行了。

2.識(shí)別惡意的WinRAR文件。在運(yùn)行WinRAR文件之前，我們可以先對(duì)其進(jìn)行檢查，確定無(wú)危害后再運(yùn)行，檢查的方法為：右鍵單擊WinRAR文件，在菜單中如果沒(méi)有“用WinRAR打開(kāi) ”這一項(xiàng)，則說(shuō)明壓縮包有異常，不要輕易打開(kāi)！

3.升級(jí)WinRAR到3.7以上的版本，新版本打開(kāi)雖仍會(huì)提示出錯(cuò)，但木馬程序不會(huì)運(yùn)行。

攻防博弈

攻 黑客：雖然很多人都有給系統(tǒng)打補(bǔ)丁的習(xí)慣，但會(huì)給應(yīng)用軟件升級(jí)的人少之又少，所以將捆綁有木馬的WinRAR文件上傳到軟件下載網(wǎng)站或一些資源論壇中，將大大增加抓到的肉雞數(shù)量。抓雞的方法多種多樣，我們還可以用135端口來(lái)抓安全意識(shí)不強(qiáng)的雞。

防 編輯：系統(tǒng)軟件的漏洞可以通過(guò)自動(dòng)更新來(lái)解決，而工具軟件的漏洞只能通過(guò)經(jīng)常關(guān)注一些專業(yè)媒體的提醒，定期升級(jí)程序來(lái)解決。同時(shí)養(yǎng)成良好安全習(xí)慣，不接收不下載來(lái)路不明的壓縮文件才是最好的防范方法！至于135端口抓雞，只要我們關(guān)閉了端口，調(diào)高了防火墻的安全等級(jí)就不用懼怕。

-----------------------------------------------------------------------------------------------------------------------

小心端口招蜂引蝶——防范用135端口抓雞的黑手

萬(wàn)立夫 (2007年9月17日 第37期)

新學(xué)期到了，許多學(xué)生都要配機(jī)，新電腦的安全防衛(wèi)做好了嗎？能不能拒絕成為黑客的肉雞？令人遺憾的是，很多新手都不知道或者忽視了對(duì)敏感端口的屏蔽。例如135端口，一旦黑客利用135端口進(jìn)入你的電腦，就能成功地控制你的機(jī)子。我們應(yīng)該如何防范通過(guò)135端口入侵呢？下面我們就為大家來(lái)揭開(kāi)謎底。

小知識(shí)：每臺(tái)互聯(lián)網(wǎng)中的計(jì)算機(jī)系統(tǒng)，都會(huì)同時(shí)打開(kāi)多個(gè)網(wǎng)絡(luò)端口，端口就像出入房間的門一樣。因?yàn)榉块g的門用于方便人們的進(jìn)出，而端口則為不同的網(wǎng)路服務(wù)提供數(shù)據(jù)交換。正如房間的門可以放進(jìn)小偷一樣，網(wǎng)絡(luò)端口也可以招來(lái)很多不速之客。

一、為什么135端口會(huì)被利用來(lái)抓雞

如今，大多數(shù)黑客都使用網(wǎng)頁(yè)木馬來(lái)捕捉肉雞，為什么還有一些黑客老惦記著135端口呢？主要原因有兩個(gè)：

一個(gè)原因是135端口是WMI服務(wù)默認(rèn)打開(kāi)的端口。由于WMI服務(wù)是Windows系統(tǒng)提供的服務(wù)，因此利用它入侵不但不會(huì)引起用戶注意還很方便，只需要一個(gè)腳本代碼就可以對(duì)遠(yuǎn)程系統(tǒng)進(jìn)行管理。WMI服務(wù)默認(rèn)打開(kāi)的是135端口，因此WMI入侵也被稱之為135端口入侵。

另外一個(gè)原因是135端口開(kāi)放的機(jī)子實(shí)在不少，這種現(xiàn)象可能是由于每年新增加的電腦用戶的安全意識(shí)不強(qiáng)或者不知道怎么關(guān)閉造成的。令人擔(dān)憂的是，連3389這樣危險(xiǎn)的端口也可以在網(wǎng)絡(luò)上搜出不少。

小知識(shí)：WMI服務(wù)是“Microsoft Windows 管理規(guī)范”服務(wù)的簡(jiǎn)稱，可以方便用戶對(duì)計(jì)算機(jī)進(jìn)行遠(yuǎn)程管理，在很多方面和系統(tǒng)服務(wù)遠(yuǎn)程桌面十分相似。只不過(guò)遠(yuǎn)程桌面是圖形化操作，而WMI服務(wù)是利用命令行操作而已。

WMI服務(wù)需要“Windows Management Instrumentation”服務(wù)提供支持。而這個(gè)服務(wù)是默認(rèn)啟動(dòng)的，而且是系統(tǒng)重要服務(wù)，這樣就為入侵提供了便利。正是由于它可以進(jìn)行遠(yuǎn)程控制操作，因此系統(tǒng)的安全性也就隨之下降，因此被稱之為永遠(yuǎn)敝開(kāi)的后門程序。

二、黑客是怎么利用135端口抓雞的

Step1：黑客入侵的第一步就是掃描網(wǎng)絡(luò)中開(kāi)啟了135端口的遠(yuǎn)程系統(tǒng)。掃描使用的工具有很多，這里使用的工具是常見(jiàn)的《S掃描器》（下載地址：），因?yàn)樗膾呙杷俣确浅？?。單擊開(kāi)始菜單中的“運(yùn)行”命令，輸入“cmd”打開(kāi)命令提示符窗口，然后輸入下面一段命令：S tcp 192.168.1.1 192.168. 1.255 135 100 /save（圖1）。

圖1

前面和后面的IP地址表示掃描的開(kāi)始和結(jié)束地址，后面的135表示掃描的端口，100表示掃描的線程數(shù)，數(shù)值越大表示速度越快。需要特別說(shuō)明的是，很多Windows系統(tǒng)默認(rèn)限制線程為10，我們需要利用修改工具改調(diào)這個(gè)限制才行。

小提示：例如我們打開(kāi)《比特精靈》的安裝目錄，運(yùn)行其中的BetterSP2.exe，在彈出窗口的“更改限制為”選項(xiàng)中設(shè)置為256，最后點(diǎn)擊“應(yīng)用”按鈕并且重新啟動(dòng)系統(tǒng)即可。

Step2：從已經(jīng)打開(kāi)135端口的電腦中篩選可以入侵的目標(biāo)。首先打開(kāi)S掃描器目錄中的IP地址文件Result.txt，對(duì)文本文件中多于的信息進(jìn)行刪除，只保留和IP地址相關(guān)的內(nèi)容。接著運(yùn)行破解工具NTScan（下載地址：），它可以對(duì)遠(yuǎn)程系統(tǒng)進(jìn)行破解（圖2）。

圖2

在NTScan窗口中的“主機(jī)文件”中設(shè)置IP地址文件，選中WMI掃描類型，然后在“掃描端口”中設(shè)置為135。最后點(diǎn)擊“開(kāi)始”按鈕就可以進(jìn)行破解操作，破解成功的主機(jī)地址都保存在NTScan.txt中。

Step3：現(xiàn)在利用Recton這款工具來(lái)上傳我們的木馬程序（下載地址：）。點(diǎn)擊窗口中的“種植”標(biāo)簽，在NTScan.txt中尋找一個(gè)地址，接著將它添加到“遠(yuǎn)程主機(jī)設(shè)置”選項(xiàng)中。然后選擇“Http下載”選項(xiàng)，并在“文件目錄”設(shè)置木馬程序的網(wǎng)頁(yè)鏈接地址，最后點(diǎn)擊“開(kāi)始執(zhí)行”按鈕即可（圖3）。

圖3

這樣木馬程序就利用135端口上傳到遠(yuǎn)程主機(jī)，并且在系統(tǒng)后臺(tái)已經(jīng)悄悄地運(yùn)行了。這種方式不需要遠(yuǎn)程用戶參予，因此它的隱蔽性和成功率都非常高，并且適何肉雞的批量捕捉，但是上傳的木馬程序一定要經(jīng)過(guò)免殺處理才行。

小提示：運(yùn)行黑客工具的時(shí)候需要先關(guān)閉殺毒軟件，因?yàn)闅⒍拒浖?huì)把它們當(dāng)作病毒給清除掉。

三、防范技巧

1.利用網(wǎng)絡(luò)防火墻屏蔽系統(tǒng)中的135端口，這樣就讓黑客入侵從第一步開(kāi)始就失敗。除此以外，像139、445、3389這些端口也是我們要屏蔽的端品。

2.增強(qiáng)當(dāng)前系統(tǒng)中管理員的賬號(hào)密碼的強(qiáng)度，比如密碼至少設(shè)置6位以上，并且其中包括數(shù)字、大小寫字母等。這樣黑客工具就不能輕易地破解我們的賬號(hào)密碼，這樣即使是掃描到我們的135端口也無(wú)濟(jì)于事。

3.安裝最新版本的殺毒軟件，并且將病毒庫(kù)更新到最新，這個(gè)已經(jīng)是老生常談的問(wèn)題。如果有可能的話，用戶最好使用帶有主動(dòng)防御功能的殺毒軟件。

攻防博弈

攻 黑客：利用135端口的確可以捕捉到大量肉雞，不過(guò)要花費(fèi)比較多的時(shí)間。隨著操作系統(tǒng)的不斷更新，以及人們對(duì)135端口進(jìn)行防范的加強(qiáng)，這種方法已經(jīng)逐漸菜鳥化，真正的高手不屑一顧。黑客抓雞的方法有很多，比如我們還可以利用迅雷進(jìn)行捆綁木馬的傳播，這是個(gè)較流行的抓雞方法。

防編輯：既然黑客利用135端口入侵，我們只要將相關(guān)功能進(jìn)行禁止，或加以限制就可以了。另外，對(duì)于黑客使用迅雷進(jìn)行捆綁木馬的傳播，除了在下載的過(guò)程中利用迅雷的安全功能進(jìn)行檢測(cè)以外，還可以利用《網(wǎng)頁(yè)木馬攔截器》這款工具。無(wú)論是網(wǎng)頁(yè)木馬還是捆綁木馬，只要運(yùn)行就會(huì)被攔截并且提示用戶注意。

----------------------------------------------------------------------------------------------------------------

Ps：以上內(nèi)容引自電腦報(bào)

（不必恐慌，積極應(yīng)對(duì)解決才是上策）

如何停止UDP攻擊啊，我的vps變?nèi)怆u了

你好，你得分幾步解決：

1、你先通過(guò)組策略屏蔽UDP對(duì)外發(fā)包。

運(yùn)行--gpedit.msc--"本地計(jì)算機(jī)"策略--計(jì)算機(jī)配置--windows設(shè)置--安全設(shè)置--IP安全策略，在本地計(jì)算機(jī)。。。創(chuàng)建IP安全策略，指派策略，然后編輯屬性，屏蔽UDP對(duì)外發(fā)包就行了。

當(dāng)然你也可以在網(wǎng)卡上進(jìn)行IP端口篩選

2、估計(jì)是PHP的UDP發(fā)包，你得查看你的網(wǎng)站程序，找下PHP的網(wǎng)站(多為dedecms)，搜索一下文件屬性，看看最近的PHP文件，查看下是不是有惡意程序，然后清除。。

3、修改php.ini文件，使php環(huán)境更安全。。同時(shí)做好網(wǎng)站目錄的權(quán)限控制。

具體的每個(gè)步驟，你可以再百度下，畢竟百度知道可回復(fù)的很少，只能給你個(gè)思路

favicon圖標(biāo)被改了，我是WordPress的網(wǎng)站

瀏覽器中，查看網(wǎng)頁(yè)源代碼，查找：favicon.ico

如果有找到的話，說(shuō)明是你的主題設(shè)置的。另外，也可能是你之前試用的幾個(gè)主題留下來(lái)的，favicon.ico有個(gè)緩存問(wèn)題，需要一段時(shí)間才能恢復(fù)正常。

“根本就沒(méi)設(shè)置或者上傳那個(gè)圖標(biāo)文件”，這句話有誤，既然你能“在我的服務(wù)器ftp里翻了又翻”，怎么沒(méi)法設(shè)置？怎么沒(méi)法設(shè)置？

另外有些主機(jī)會(huì)在網(wǎng)站根目錄下自動(dòng)放置favicon.ico，自己找找！

網(wǎng)站欄目：wordpress變?nèi)怆u的簡(jiǎn)單介紹
分享網(wǎng)址：http://m.jiaotiyi.com/article/ddoopih.html