几乎每天都有一条计算机被黑新闻报道。昨天是一家视频游戏公司和美国参议院数据库遭攻击,今天又可能是美联储被黑。毋庸置疑,新一轮攻击正在酝酿中,黑客对不同目标采取不同攻击措施。大家不禁要问,谁在幕后领导这些计算机攻击,其目的何在?下面的解疑答惑将就此作出回答:
Anonymous是何方神圣?
最近,Anonymous因其活跃性及公开表示甚或预先通知对网站的攻击而声名鹊起。Anonymous是一个分散式组织,负责组织发起分布式拒绝服务(DDoS)攻击、致使被攻击网站关闭,尤其支持言论自由。之前攻击过的目标包括科学教派、BMI、埃及和伊朗政府及保守派亿万富豪查尔斯(Charles)及大卫·科赫(David Koch)麾下公司。Anonymous还对安全公司HBGary Federal发动大规模攻击,据说该公司曾与美国联邦调查局(FBI)合作识别Anonymous领导人身份。
Anonymous去年曾对PayPal、Visa和MasterCard发起系列有效攻击,原因是上述公司封杀通过其支付方式向泄密网站 WikiLeaks的捐款。消息人士向CNET透露,去年晚些时候,一名16岁会员在荷兰被捕;今年1月,5名年龄在15-26岁之间的成员在英国被捕;美国发出逾40张逮捕令。之后,Anonymous遭遇成员减少,其指导方向和组织参与方式也发生剧烈改变。据悉,其成员身份已在互联网上泄密。由于该集团反政府情绪强烈、政治观点偏激,被部分人士称为黑客活动家。目前尚不清楚有多少人参与他们的“运作”,因为其系统只允许信任的人员参与。
Anonymous最近攻击目标及原因
Anonymous最近对索尼发起大规模攻击。为报复索尼将数位PS3黑客告上法庭,Anonymous于4月初对数家索尼网站发起DDoS攻击。PS3“修改者”乔治·霍茨(George Hotz)与索尼最终达成庭外和解,但黑客对索尼的攻击仍在继续:对PSN攻击导致7700万客户纪录外泄;对索尼在线娱乐(SOE)攻击造成逾2400 万客户纪录外泄。尽管Anonymous承认对第一次DDoS攻击负责,表示自己并非PSN和SOE攻击的幕后策划者,也不对其它索尼攻击事件负责,但索尼认为Anonymous难与攻击事件脱掉干系。上周,西班牙警方逮捕3名涉嫌参与Anonymous活动的嫌疑分子,Anonymous成员通过攻击西班牙国家警署网站进行报复。土耳其颁布新互联网过滤法后,Anonymous发起攻击,关闭土耳其政府网站。数天后,土耳其警方于本周逮捕32人,其中包括8名青少年。昨天,Anonymous计划今天对美联储网站发起攻击。
LulzSec庐山真面目
LulzSec今年5月初突然冒出。消息人士向CNET透露,LulzSec是从Anonymous队伍中分离出来的,但没有为自己打出政治口号或披上道义外衣。LulzSec是LOL(大声笑)与security(安全)两词的缩写,其动机就是为了追求刺激与娱乐。该集团在Twitter上对攻击目标百般嘲弄。今天表示将接受被黑目标请求:“选定一个目标,我们就会让它消失。请在Twitter上为我们设定目标。”
LulzSec攻击目标
LulzSec今年5月份公开表示对福克斯电视节目“X Factor”网站攻击,在披露内部数据时,参赛选手个人资料外泄。LulzSec还表示对索尼音乐日本网站、Sony Pictures、Sony BMG比利时和荷兰网站、索尼计算机娱乐开发者网络及Sony BMG网站被黑负责。
上月底,LulzSec攻击PBS.org网站、外泄密码,并在该网站上发布一篇恶搞文章,声称已故RAP歌手图帕克·沙克(Tupac Shakur)和Biggie Smalls仍活在世上,目前居住在新西兰。该集团声称其目的是惩罚PBS对WikiLeaks的告密,并表示对该告密者网站有成见。LulzSec还将任天堂和FBI合作伙伴Infragard确定为被黑目标,让FBI难堪。LulzSec表示,之所以对Infragard采取行动是因为奥巴马政府制订了一个将网络攻击定为战争行为的计划。在Infragard站点上的密码中,有一个为僵尸网络跟踪公司Unveillance CEO使用的密码。该CEO向CNET表示,黑客使用该密码阅读其电子邮件、窃听电话会议,并威胁他提供金钱和僵尸网络数据。感染僵尸病毒的计算机通常被用于发送垃圾邮件、发动DDoS攻击。
LulzSec最近公开窃取的美国参议院网站数据,并发布通过游戏公司ZeniMax Media子公司Bethesda Softworks窃取的数据。LulzSec最近还攻击了英国国民健康服务网站。LulzSec并未公开信息,但向该机构发送了一封电子邮件提出警告,然后向公众公开一份经过编辑的电子邮件。
Idahc身份揭秘
Idahc是一名对索尼攻击负责的黑客,是一名18岁黎巴嫩计算机科学系学生。他在接受福布斯采访时说,他做黑客的目的是为了“公正”。目前他正在督促组织改进其网站的安全性。他说:“我做黑客的目的不是为了好玩,而是为了道义。”他认为LulzSec集团是“黑帽子”黑客,即罪犯,而自己则是 “灰帽子”黑客。
Idahc攻击目标
Idahc表示已窃取索尼爱立信加拿大电子商务网站2000条纪录,外泄一个索尼欧洲数据库,攻击索尼葡萄牙站点。与此同时,还有许多效仿者也对索尼发动攻击。化名为“k4L0ng666”的黑客对攻击Sony Music印尼网站负责;“b4d_vipera”声称对Sony BMG希腊站点被黑负责。
最近发生的其它大规模攻击目的何在?所有攻击是否都相关?
过去数月曾发生一系列计算机被黑事件,但并非都有关联。Anonymous和LulzSec针对索尼及其它公司发动的攻击是暴露其安全缺陷、使被攻击目标难堪并公开表示对攻击负责,其它类型的攻击则更为恶毒。
例如,花旗银行和国际货币基金组织(IMF)最近遭到攻击。报道曾猜测IMF被黑是一家外国政府所为,目的是获得可能影响金融市场的内部信息。目前尚不清楚花旗银行攻击事件的幕后策划者。
RSA今年3月份曾警告客户其系统被黑,与SecurID双向认证设备相关的数据被窃。
Google本月初表示已挫败一起旨在窥探美国政府官员、新闻记者、政治活动家电子邮件账户的攻击。
电子邮件服务提供商Epsilon遭遇攻击后,促使花旗银行、大通银行、Capital One、沃尔格林、Target、百思买、TiVo、TD Ameritrade和Verizon等大公司警告客户电子邮件地址外泄。
3月份,有人窃取Comodo注册机构数字认证,愚弄Google、雅虎、Live.com和Skype站点。一名21岁的伊朗爱国青年对该攻击负责,声称此举是对美国政府的抗议,对去年Stuxnet恶意件或关闭伊朗核计划实施报复。
电脑经常提示有黑客攻击怎么办?
很正常的.防火墙经常提示受到攻击,那是远程黑客进行扫描,确认IP,一般没有关系,防火墙会解决的,但是如果是来自同一IP的连续攻击的话就得注意了,应马上断开网络,用最新的杀毒软件扫描一遍。
什么是灰鸽子木马?和熊猫烧香病毒有什么不同?
一、灰鸽子病毒简介 灰鸽子是国内一款著名后门。 比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。 其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。 客户端简易便捷的操作使刚入门的初学者都能充当黑客。 当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。 但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。 这就好比火药,用在不同的场合,给人类带来不同的影响。 对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。 灰鸽子客户端和服务端都是采用Delphi编写。 黑客利用客户端程序配置出服务端程序。 可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。 服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。 下面介绍服务端: 配置出来的服务端文件文件名为G_(这是默认的,当然也可以改变)。 然后黑客利用一切办法诱骗用户运行G_程序。 具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。 G_运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_和G_Server_到windows目录下。 G_、G_和G_Server_三个文件相互配合组成了灰鸽子服务端, G_Server_负责隐藏灰鸽子。 通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。 截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。 所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。 有些灰鸽子会多释放出一个名为G_的文件用来记录键盘操作。 注意,G_这个名称并不固定,它是可以定制的,比如当定制服务端文件名为时,生成的文件就是、和A_。 Windows目录下的G_文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_和G_Server_并自动退出。 G_文件实现后门功能,与控制端客户端进行通信;G_Server_则通过拦截API调用来隐藏病毒。 因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。 随着灰鸽子服务端文件的设置不同,G_Server_有时候附在的进程空间中,有时候则是附在所有进程中。 灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。 由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。 要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。 二、灰鸽子的手工检测 由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。 此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。 但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。 从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_”结尾的文件。 通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。 由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。 进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。 打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。 2、打开Windows的“搜索文件”,文件名称输入“_”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。 3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_的文件。 4、根据灰鸽子原理分析我们知道,如果Game_是灰鸽子的文件,则在操作系统安装目录下还会有和文件。 打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的文件。 经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。 三、灰鸽子的手工清除 经过上面的分析,清除灰鸽子就很容易了。 清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。 注意:为防止误操作,清除前一定要做好备份。 (一)、清除灰鸽子的服务 注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后在去注册表删除灰鸽子的服务。 因为病毒会和EXE文件进行关联 2000/XP系统: 1、打开注册表编辑器(点击“开始”-》“运行”,输入“”,确定。 ),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。 2、点击菜单“编辑”-》“查找”,“查找目标”输入“”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。 3、删除整个Game_Server项。 98/me系统: 在9X下,灰鸽子启动项只有一个,因此清除更为简单。 运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为的一项,将项删除即可。 (二)、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的、、Game_以及文件,然后重新启动计算机。 至此,灰鸽子VIP 2005 服务端已经被清除干净。 以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。 同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。 四、防止中灰鸽子病毒需要注意的事项 1. 给系统安装补丁程序。 通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序 2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户 3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。 安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。 部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护 4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。 完全单机的用户可直接关闭Server服务。 . 下载HijackThis扫描系统 下载地址:zww3008汉化版英文版 2. 从HijackThis日志的 O23项可以发现灰鸽子自的服务项 如最近流行的: O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\ O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\ O23 - Service: winServer - Unknown owner - C:\WINDOWS\ O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_ 用HijackThis选中上面的O23项,然后选择修复该项或Fix checked 3. 用Killbox删除灰鸽子对应的木马文件 可以从这里下载Killbox直接把文件的路径复制到 Killbox里删除 通常都是下面这样的文件 服务名具体通过HijackThis判断 C:\windows\服务 C:\windows\服务 C:\windows\服务 C:\windows\服务 C:\windows\服务名_ C:\windows\服务名_ 举例说明: C:\WINDOWS\ C:\WINDOWS\ C:\WINDOWS\ C:\WINDOWS\setemy_ C:\WINDOWS\setemy_ 用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了
为什么每次开机都会有病毒?
现在虽然有众多的杀毒软件和防火墙供大家作为电脑的保护,但新病毒和木马,加上黑客人工的入侵方式,电脑中毒的情况还是很普遍。 尤其是上网的用户,一不留意就会中招。 如何防止中毒的技巧文章,大家已经看得很多了。 那么万一中毒了,该如何处理呢?下面就谈谈中毒后的一些紧急处理措施。 一、正在上网的用户,发现异常应首先马上断开连接 如果你发现IE经常询问你是否运行某些ActiveX控件,或是生成莫明其妙的文件、询问调试脚本什么的,一定要警惕了,你可能已经中招了。 典型的上网被入侵有两种情况: 1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题,这算是轻的;还有就是遇到可以格式化硬盘或是令你的Windows不断打开窗口,直到耗尽资源死机。 这种情况恶劣得多,你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。 2、是黑客的潜在木马发作,或是蠕虫类病毒发作,让你的机器不断地向外界发送你的隐私;或是利用你的名义和邮件地址发送垃圾,进一步传播病毒;还有就是黑客的手工入侵,窥探你的隐私或是删除破坏你的文件。 处理办法:马上断开连接,这样能将自己的损失降低的同时,也避免了病毒向更多的在线电脑传播。 请先不要马上重新启动系统或是关机,进一步的处理措施请参看后文。 二、中毒后,应马上备份转移文档和邮件等 中毒后运行杀毒软件清除是不在话下的了,但为了防止杀毒软件误杀或是删掉你还处理完的文档和重要的邮件,你应该首先将它们转移备份到其他储存媒体上。 有些长文件名的文件和未处理的邮件要求在Windows下备份,所以第一点这里笔者建议您先不要退出windows,因为病毒一旦发作,可能就不能进入Windows了。 不管这些文件是否带毒了,你都应该备份,用标签纸标记为待查即可。 因为有些病毒是专门针对某个杀毒软件设计的,一运行就会破坏其他的文件,所以先备份是以防万一的措施。 等你清除完硬盘内的病毒后,再来慢慢分析处理这些额外备份的文件较为妥善。 三、需要干净的DOS启动盘和DOS下面的杀毒软件 到现在,就应该按很多杀毒软件的标准手册去按步就班地做,即关机后冷启动,用一张干净的DOS启动盘引导是不能少的了;另外由于中毒后可能Windows已经被破坏了部分关键文件,会频繁地非法操作,所以Windows下的杀毒软件可能会无法运行。 所以请你也准备一个DOS下面的杀毒软件来以防万一。 即使能在Windows下运行杀毒软件的,也请用两种以上工具交叉清理。 在多数情况下Windows可能要重装,因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。 建议不要对某种杀毒软件带偏见,由于开发时候侧重点不同,使用的杀毒引擎不同,各种杀毒软件都是有自己的长处和短处的,交叉使用效果较理想。 四、如果有GHOST和分区表、引导区的备份,用之来恢复一次最保险 如果你在平时作了Windows的Ghost备份,用之来镜像一次,得到的操作系统是最保险的。 这样连潜在的未杀光的木马程序也顺便清理了,当然,这要求你的GHOST备份是绝对可靠的。 五、再次恢复系统后,更改你的网络相关密码 包括登录网络的用户名、密码,邮箱的密码和QQ的等等,防止黑客已经在上次入侵过程中知道了你的密码。 另外因为很多蠕虫病毒发作会向外随机发送你的信息,所以适当的更改是必要的。
发表评论