肉雞

概念

所謂電腦肉雞，就是擁有管理權限的遠程電腦，也就是受黑客遠程控制的電腦。肉雞一般被黑客以0.08、0.1元到30元不等價格出售。

要登陸肉雞，必須知道3個參數：遠程電腦的IP、用戶名、密碼。說到肉雞，就要講到遠程控制。遠程控制軟件例如灰鴿子、上興等。

肉雞不是吃的那種，是中了木馬，或者留了後門，可以被遠程操控的機器，許多人把有WEBSHELL權限的機器也叫肉雞。

誰都不希望自己的電腦被他人遠程控制，但是很多人的電腦是幾乎不設防的，很容易被遠程攻擊者完全控制。你的電腦就因此成為别人砧闆上的肉，别人想怎麼吃就怎麼吃，肉雞(機)一名由此而來。

如何自救

斷網

正在上網的用戶，發現異常應首先馬上斷開連接

如果你發現IE經常詢問是你是否運行某些ActiveX控件，或是生成莫名其妙的文件、詢問調試腳本什麼的，一定要警惕了，你可能已經中招了。典型的上網被入侵有兩種情況：

1.浏覽某些帶惡意代碼的網頁時候被修改了浏覽器的默認主頁或是标題，這算是輕的；還有就是遇到可以格式化硬盤或是令你的Windows不斷打開窗口，直到耗盡資源死機——這種情況惡劣得多，你未保存和已經放在硬盤上的數據都可能會受到部分或全部的損失。

2.潛在的木馬發作，或是蠕蟲類病毒發作，讓你的機器不斷地向外界發送你的隐私，或是利用你的名義和郵件地址發送垃圾，進一步傳播病毒；還有就是黑客的手工入侵，窺探你的隐私或是删除破壞你的文件。

3.自救措施

馬上斷開連接，這樣在自己的損失降低的同時，也避免了病毒向更多的在線電腦傳播。請先不要馬上重新啟動系統或是關機，進一步的處理措施請參看後文。中毒後，應馬上備份、轉移文檔和郵件等

中毒後運行殺毒軟件殺毒是理所當然的了，但為了防止殺毒軟件誤殺或是删掉你還未處理完的文檔和重要的郵件，你應該首先将它們備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在Windows下備份，所以上文筆者建議你先不要退出Windows，因為病毒一旦發作，可能就不能進入Windows了。

不管這些文件是否帶毒，你都應該備份，用标簽紙标記為“待查”即可。因為有些病毒是專門針對某個殺毒軟件設計的，一運行就會破壞其他文件，所以先備份是防患于未然的措施。等你清除完硬盤内的病毒後，再來慢慢分析處理這些額外備份的文件較為妥善。

查殺病毒

1.需要在Windows下先運行一下殺CIH的軟件（即使是帶毒環境）

如果是發現了CIH病毒，要注意不能完全按平時報刊和手冊建議的措施，即先關機、冷啟動後用系統盤來引導再殺毒，而應在帶毒的環境下也運行一次專殺CIH的軟件。這樣做，殺毒軟件可能會報告某些文件受讀寫保護無法清理，但帶毒運行的實際目的不在于完全清除病毒，而是在于把CIH下次開機時候的破壞減到最低，以防它在再次開機時破壞主闆的BIOS硬件，導緻黑屏，讓你下一步的殺毒工作無法進行。

2.需要幹淨的DOS啟動盤和DOS下面的殺毒軟件

就應該按很多殺毒軟件的标準手冊去按部就班地做。即關機後冷啟動，用一張幹淨的DOS啟動盤引導；另外由于中毒後可能Windows已經被破壞了部分關鍵文件，會頻繁地報告非法操作，所以Windows下的殺毒軟件可能會無法運行。所以請你也準備一個DOS下面的殺毒軟件以防萬一。不過标準的DOS系統是不能訪問NTFS格式的硬盤分區。

即使能在Windows下運行殺毒軟件，也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝，因為病毒會破壞掉一部分文件讓系統變慢或出現頻繁的非法操作。比如即使殺了CIH，微軟的Outlook郵件程序也是反應較慢的。建議不要對某種殺毒軟件帶偏見，由于開發時候側重點不同、使用的殺毒引擎不同，各種殺毒軟件都是有自己的長處和短處的，交叉使用效果較理想。

恢複操作系統

如果有Ghost和分區表、引導區的備份，用之來恢複一次最保險

如果你在平時用Ghost備份做了Windows的，用之來鏡像一次，得到的操作系統是最保險的。這樣連潛在的未殺光的木馬程序也順便清理了。當然，這要求你的Ghost備份是絕對可靠的。要是作Ghost的時候把木馬也“備份”了就後患無窮了。

再次恢複系統後，更改你的網絡相關密碼，包括登錄網絡的用戶名、密碼，郵箱的密碼和QQ的密碼等，防止黑客用上次入侵過程中得到的密碼進入你的系統。另外因為很多蠕蟲病毒發作會向外随機發送你的信息，所以及時地更改是必要的。

檢測注意

注意以下幾種基本的情況：

1：QQ、MSN的異常登錄提醒（系統提示上一次的登錄IP不符）

2：網絡遊戲登錄時發現裝備丢失或與上次下線時的位置不符，甚至用正确的密碼無法登錄。

3：有時會突然發現你的鼠标不聽使喚，在你不動鼠标的時候，鼠标也會移動，并且還會點擊有關按鈕進行操作。

4：正常上網時，突然感覺很慢，硬盤燈在閃爍，就像你平時在COPY文件。

5：當你準備使用攝像頭時，系統提示，該設備正在使用中。

6：在你沒有使用網絡資源時，你發現網卡燈在不停閃爍。如果你設定為連接後顯示狀态，你還會發現屏幕右下角的網卡圖标在閃。

7：服務列隊中出可疑程服務。

8：寬帶連接的用戶在硬件打開後未連接時收到不正常數據包。（可能有程序後台連接）

9：防火牆失去對一些端口的控制。

10：上網過程中計算機重啟。

11：有些程序如殺毒軟件防火牆卸載時出現閃屏（卸載界面一閃而過，然後報告完成。）

12：一些用戶信任并經常使用的程序（QQ`殺毒）卸載後。目錄文仍然存在，删除後自動生成。

13：電腦運行過程中或者開機的時候彈出莫名其妙的對話框

以上現象，基本是主觀感覺，并不十分準确，但需要提醒您注意。

14：還可以通過CMD下輸入NETSTAT -AN查看是否有可疑端口等

接下來，可以借助一些軟件來觀察網絡活動情況，以檢查系統是否被入侵。

1．注意檢查防火牆軟件的工作狀态

比如金山網镖。在網絡狀态頁，會顯示當前正在活動的網絡連接，仔細查看相關連接。如果發現自己根本沒有使用的軟件在連接到遠程計算機，就要小心了。

2．推薦使用tcpview，可以非常清晰的查看當前網絡的活動狀态。

一般的木馬連接，是可以通過這個工具查看到結果的。

這裡說一般的木馬連接，是區别于某些精心構造的rootkit木馬采用更高明的隐藏技術，不易被發現的情況。

3．使用金山清理專家進行在線診斷，特别注意全面診斷的進程項

清理專家會對每一項進行安全評估，當遇到未知項時，需要特别小心。

4．清理專家百寶箱的進程管理器

可以查找可疑文件，幫你簡單的檢查危險程序所在。

如何避免

1.關閉高危端口

第一步，點擊“開始”菜單/設置/控制面闆/管理工具，雙擊打開“本地安全策略”，選中“IP安全策略，在本地計算機”，在右邊窗格的空白位置右擊鼠标，彈出快捷菜單，選擇“創建IP安全策略”，于是彈出一個向導。在向導中點擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認相應規則”左邊的鈎去掉，點擊“完成”按鈕就創建了一個新的IP安全策略。

第二步，右擊該IP安全策略，在“屬性”對話框中，把“使用添加向導”左邊的鈎去掉，然後單擊“添加”按鈕添加新的規則，随後彈出“新規則屬性”對話框，在畫面上點擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向導”左邊的鈎去掉，然後再點擊右邊的“添加”按鈕添加新的篩選器。

第三步，進入“篩選器屬性”對話框，首先看到的是尋址，源地址選“任何IP地址”，目标地址選“我的IP地址”；點擊“協議”選項卡，在“選擇協議類型”的下拉列表中選擇“TCP”，然後在“到此端口”下的文本框中輸入“135”，點擊“确定”按鈕（如左圖），這樣就添加了一個屏蔽TCP135（RPC）端口的篩選器，它可以防止外界通過135端口連上你的電腦。

點擊“确定”後回到篩選器列表的對話框，可以看到已經添加了一條策略，重複以上步驟繼續添加TCP137、139、445、593端口和UDP135、139、445端口，為它們建立相應的篩選器。

重複以上步驟添加TCP1025、2745、3127、6129、3389端口的屏蔽策略，建立好上述端口的篩選器，最後點擊“确定”按鈕。

第四步，在“新規則屬性”對話框中，選擇“新IP篩選器列表”，然後點擊其左邊的圓圈上加一個點，表示已經激活，最後點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中，把“使用添加向導”左邊的鈎去掉，點擊“添加”按鈕，添加“阻止”操作（右圖）：然後點擊“确定”按鈕。

第五步,進入“新規則屬性”對話框，點擊“新篩選器操作”，

其左邊的圓圈會加了一個點，表示已經激活，點擊“關閉”按鈕，關閉對話框；最後回到“新IP安全策略屬性”對話框，在“新的IP篩選器列表”左邊打鈎，按“确定”按鈕關閉對話框。在“本地安全策略”窗口，用鼠标右擊新添加的IP安全策略，然後選擇“指派”。

重新啟動後，電腦中上述網絡端口就被關閉了，病毒和黑客再也不能連上這些端口，從而保護了你的電腦。

2.及時打補丁

肉雞捕獵者一般都是用“灰鴿子”病毒操控你的電腦，建議用灰鴿子專殺軟件殺除病毒。

3.經常檢查系統

經常檢查自己計算機上的殺毒軟件，防火牆的目錄，服務，注冊表等相關項。

黑客經常利用用戶對它們的信任将木馬隐藏或植入這些程序。

警惕出現在這些目錄裡的系統屬性的DLL。（可能被用來DLL劫持）

警惕出現在磁盤根的pagefile.sys.(該文件本是虛拟頁面交換文件。也可被用來隐藏文件。要檢查系統的頁面文件的盤符是否和它們對應)

4.盜版系統存在風險

如果你的操作系統是其它技術人員安裝，或者有可能是盜版XP，比如電腦裝機商的**版本，蕃茄花園XP，雨木林風XP，龍卷風XP等。這樣的系統，很多是無人值守安裝的。安裝步驟非常簡單，你把光盤放進電腦，出去喝茶，回來就可能發現系統已經安裝完畢。

這樣的系統，最大的缺陷在哪兒呢？再明白不過，這種系統的管理員口令是空的，并且自動登錄。也就是說，任何人都可以嘗試用空口令登錄你的系統，距離對于互聯網來說，根本不是障礙。

5.移動存儲設備

在互聯網發展起來之前，病毒的傳播是依賴于軟磁盤的，其後讓位于網絡。公衆越來越頻繁的使用移動存儲設備（移動硬盤、U盤、數碼存儲卡）傳遞文件，這些移動存儲設備成為木馬傳播的重要通道。計算機用戶通常把這樣的病毒稱為U盤病毒或AUTO病毒。意思是插入U盤這個動作，就能讓病毒從一個U盤傳播到另一台電腦。

6.安全上網

成為肉雞很重要的原因之一是浏覽不安全的網站，區分什麼網站安全，什麼網站不安全，這對普通用戶來說，是很困難的。并且還存在原來正常的網站被入侵植入木馬的可能性，也有被ARP攻擊之後，訪問任何網頁都下載木馬的風險。

上網下載木馬的機會總是有的，誰都無法避免，隻能減輕這種風險。

浏覽器的安全性需要得到特别關注，浏覽器和浏覽器插件的漏洞是黑客們的最愛，flash player漏洞就是插件漏洞，這種漏洞是跨浏覽器平台的，任何使用flash player的場合都可能存在這種風險。

商業價值

1.盜竊虛拟财産

虛拟财産有：網絡遊戲ID帳号裝備、QQ号裡的Q币、聯衆的虛拟榮譽值等等。虛拟财産，是可以兌現為真實貨币的，多少不限，積累起來就是财富。

2.盜竊真實财産

真實财産包括：網上銀行，大衆版可以進行小額支付，一旦你的網銀帳号被盜，最多見的就是要為别人的消費買單了。此外，還有網上炒股，證券大盜之類的木馬不少，攻擊者可以輕易獲得網上炒股的帳号，和銀行交易不同的是，攻擊者不能利用偷來的炒股帳号直接獲益，這是由股票交易的特殊性決定的。不然，網上炒股一定會成為股民的噩夢。

相當多的普通電腦用戶不敢使用網上銀行，原因就是不了解該怎樣保護網上銀行的帳号安全。事實上，網上銀行的安全性比網上炒股強很多。正确使用網上銀行，安全性和便利性都是有保障的。

3.盜竊他人的隐私數據

陳冠希事件，相信大家都知道，如果普通人的隐密照片、文檔被發布在互聯網上，後果将會十分嚴重。利用偷來的受害人隐私信息進行詐騙、勒索的案例不少。

還有攻擊者熱衷于遠程控制别人的攝像頭，滿足偷窺他人隐私的邪惡目的。

如果偷到受害人電腦上的商業信息，比如财務報表、人事檔案，攻擊者都可以謀取非法利益。

4.非法獲利

你或許認為你的QQ号無足輕重，也沒QQ秀，也沒Q币。實際上并非如此，你的QQ好友，你的Email聯系人，手機聯系人，都是攻擊者的目标，攻擊者可以僞裝成你的身份進行各種不法活動，每個人的人脈關系都是有商業價值的。

最常見的例子就是12590利用偷來的QQ号群發垃圾消息騙錢，還有MSN病毒，自動給你的聯系人發消息騙取非法利益。

5.種植流氓軟件

這種情況下，會影響你的上網體驗，相信所有人都很讨厭電腦自動彈出的廣告。攻擊者在控制大量肉雞之後，可以通過強行彈出廣告，從廣告主那裡收獲廣告費，流氓軟件泛濫的原因之一，就是很多企業購買流氓軟件開發者的廣告。

還有的攻擊者，通過肉雞電腦在後台偷偷點擊廣告獲利，當然，受損的就是肉雞電腦了。

6.其它電腦發起攻擊

黑客的任何攻擊行為都可能留下痕迹，為了更好的隐藏自己，必然要經過多次代理的跳轉，肉雞電腦充當了中介和替罪羊。攻擊者為傳播更多的木馬，也許會把你的電腦當做木馬下載站。網速快，機器性能好的電腦被用作代理服務器的可能性更大。

7.發起DDoS攻擊

DDoS，你可以理解為網絡黑幫或網絡戰争，戰争的發起者是可以獲取收益的，有人會收購這些網絡打手。這些網絡黑幫成員，也可以直接對目标主機進行攻擊，然後敲詐勒索。“肉雞”電腦，就是這些網絡黑幫手裡的一個棋子，DDoS攻擊行為已經是網絡毒瘤。

總之，“肉雞”電腦是攻擊者緻富的源泉，在攻擊者的圈子裡，“肉雞”電腦就象白菜一樣被賣來賣去。在黑色産業鍊的高端，這些龐大“肉雞”電腦群的控制者構築了一個同樣龐大又黑暗的木馬帝國。

抓肉雞法

1.一般XP都很難掃不出IP，先要突破一下，可以用工具是使xp支持syn掃描，運行就重啟。線程就可以達到10240，然後将每次掃描，關閉防火牆命令是"net stop sharedaccess"，一般都可以掃出IP，如果還不行，換個IP段。

2.掃描環境:一般都是XP系統，但其實掃描IP速度很慢，而且掃不多。建議抓雞最好用服務器，服務器指2003系統，因為2003系統掃描速度快，而且掃到很多IP，是很好的抓雞系統。

3.抓雞方法

135端口，先掃描135IP，然後整理！然後用NTscan，掃描弱口令，最後用Recton上傳木馬，自動運行的。因為這個漏洞很久，所以端口也很少的了。如果整理IP不好，就很難掃出弱口令。

1433端口，先掃描1433IP，然後整理！然後用X-Scan-v3.3，掃描模塊隻選擇SQL-Server弱口令，然後掃出漏洞主機，再用SQLTools.exe連接，看看能不能執行DOS，如果不能就修複下，可以用“SQL查詢分析器修正分離版”，修複命令我會打包的了。

3389端口，先掃描3389IP，然後用遠程桌面連接，一個一個IP添加進入，見到XP，用戶new密碼為空進入，然後下載木馬！見到2000，用戶administrator密碼為空進入然後下載木馬！

4899端口，先掃描4899IP，然後整理！然後用4899探測器，A導入4899IP，然後開始搜索，B就是空口令的IP了，然後用Radmin，點連接到，把剛才掃到的空口令的IP添到IP地址那裡，點确定，然後自己上傳馬，用DOS運行。

5900端口，用領域小組專版VNC掃描器，這個端口有些特别，不同其他的端口，所以掃IP工具也不同，掃到IP，看看有無V字開頭，然後用VNCLink連接，自己然後下載馬拉！

80端口，先掃描80IP，然後整理，再用Apache Tomcat導入IP，端口8080改為80，等IP全部導完，點開始就可以，你看看有無一些網站結尾是HTML或者很長的，就可以進入這個網，然後上傳個“hcskk.war”然後點hcskk.war進入，就可以自己下載木馬，再用DOS運行。

4.免殺木馬

抓雞一定要個免殺木馬，不然就抓不到的，先要學會免殺，那就容易抓到雞拉！不會可以先學定位，用CCM修改就OK了