殭屍電腦入侵交大?

台灣之光?

昨天才看到國內外許多媒體報導:諾貝爾和平獎網站駭客入侵 疑似來自交大這一則新聞,對電腦比較熟悉的人第一個想法都是:被當成跳板的吧?

而會造成這種現象的原因就是:「殭屍電腦」大猖狂了!或許你家也有「殭屍電腦」也說不定!

以這種方式上國際新聞的版面實在是不光榮,更何況是發生在台灣數一數二的明星大學,所以大家就不要再笑其他國家有多落後了,因為自己也好不到哪裡去!

什麼是殭屍電腦

殭屍電腦」(Botnet或Zombie)指的是網路上一群受遠端控制而不自覺的電腦。其實我比較喜歡「傀儡電腦」這一個稱呼,但是最近大家好像都是講「殭屍電腦」,這兩者指的是同一種電腦。

為什麼會變成殭屍電腦:這是因為電腦中了某些類型的木馬病毒(Trojan),有些木馬只是偷你的檔案或是個人帳號密碼,但是有些木馬是會在你的電腦開啟「後門」,讓別人從遠端進入你的電腦並遙控它。

什麼人在遙控殭屍電腦:當然是下毒的人!但是有時候並不是真的有人在控制,而是叫這些被遙控的「殭屍電腦」到一台指定的主機去接收新的指令。

殭屍電腦的目的是什麼:主要是發送垃圾郵件,到各網站自動留言,感染更多的電腦,依指示發動DDoS服務阻斷攻擊癱瘓網站,或是最近常見的利用殭屍電腦去感染網站主機,然後這個網站又會讓更多瀏覽網頁的人中毒。像諾貝爾和平獎網站被駭客入侵就是這種模式。

你的電腦是殭屍電腦嗎?這當然要比較專業的知識才能夠判斷,但是裡先教大家一個最基本的觀察方法:請你先將電腦連上網路,然後關閉所有可能會有網路活動的程式,像是瀏覽器、MSN、即時通、網路收音機、BT、PPS或是我一直叫你不要用你還在用的Foxy,然後點開寬頻連線(使用撥號上網)或是區域連線(使用IP分享器上網或電腦一開機就可以上網的第四台線路),觀察這個連線狀態:

殭屍電腦入侵交大?

如果一直有跳動很快的已傳送/已接收,或是放很久之後已傳送的數值遠大於已接收的數據,那你的電腦就很有可能已經中獎了!

而且請記住一件事:目前的防毒軟體沒有一套能完全防範這一類中毒情況發生,或許你身邊的人會告訴你某某防毒很好,都「不會中毒」!但是我告訴你我一天到晚幫人家修電腦,「每一個牌子」的防毒都有中毒很嚴重的案例,有的是解不掉有的是完全沒警示,所以防毒軟體不是100%這樣的觀念一定要有。

殭屍電腦番外篇 - 垃圾留言

其實我很早就想寫「殭屍電腦」的文,像之前的連不上高登工作室嗎?已經講到「殭屍電腦」,照講應該很快再發一篇文說明什麼是「殭屍電腦」。但是就在構思如何下筆的時候就發生了諾貝爾和平獎網站被駭的新聞,而且過了一天在我的網站後台竟然出現一連串的垃圾留言:

殭屍電腦入侵交大?

這些留言當然被強大的WordPress系統給擋下來了,但是就在跟往常一樣要在主機設定封鎖這個垃圾留言IP的時候,用 WhoIsHostingThis 一查,結果是位於交大的IP

殭屍電腦入侵交大?

再用 Traacert 反查,更清楚來源是在交大的宿舍中的電腦!

殭屍電腦入侵交大?

除非這些垃圾留言是那位交大學生賺外快所留的,不然幾乎可以肯定那一台電腦已經成為別人遙控來作為垃圾留言的「跳板」了。而留言的時間從半夜的一點多到兩點多,也不確定那位電腦的主人有沒有在使用,如果沒有在用的話就是電腦長期沒關在「掛網」,而這一種24小時隨叫隨到的「殭屍電腦」可是他們駭客的最愛。

為了更了解一下對方是從哪裡來的,我試著從主機的Log記錄查,用留言者的IP查到了對方的連線記錄,結果是只有一個來源網站(Refer)是checkcheck4a.com這個網址,但是去查這個域名的Whois竟然是沒人註冊的!

殭屍電腦入侵交大?

一連串的留言還有另外有checkcheck5a, checkcheck6c兩個無用的連結,我在猜這個駭客可能會去註冊這幾個域名然後作什麼壞事!?

於是我先把這個被當跳板的 IP 給封鎖了(不要怪我!),但是就在晚上竟然又是同一個人來留言

殭屍電腦入侵交大?

但是這一次的 IP 換到了巴西(交大的被我擋進不來了吧!)

殭屍電腦入侵交大?

所以這一次又使用了我在WordPress 3.0部落格架站十堂課新書裡面的一招:阻擋特定網站轉來的訪客(P.321),在 .htaccess 裡面加上這一段程式碼:

<code>
RewriteEngine on
# Options +FollowSymlinks
RewriteCond %{HTTP_REFERER} checkcheck4a\.com [NC,OR]
RewriteCond %{HTTP_REFERER} checkcheck5b\.com [NC,OR]
RewriteCond %{HTTP_REFERER} checkcheck6c\.com
RewriteRule .* - [F]
</code>

看你怎麼再進來留言!不過他如果看得懂這篇文章的話應該會再換一個來源網站。可是他手下的殭屍電腦為數眾多,我也只有被動防禦的份,或許真的被煩得累了,留言再來加驗證碼或許可以擋一擋。

有用WordPress架站的快去買書啦!這一本書短短幾天就登上了博客來電腦類新書的第一名,應該很快就會缺貨的(希望啦)!

至於有沒有辦法查到最源頭呢?線索都在交大宿舍那一台電腦中(當然不只一台),交大的網管人員我已經透露很多了,剩下的就是你們的工作了,抓到源頭讓台灣不要那麼難堪好嗎?

如果您是第一次來到本站,而且覺得本站的內容不錯的話,建議你透過 訂閱 本站的方式,隨時取得本站的最新內容。同時也歡迎您 按讚
Facebook 粉絲團以及
Google+ 專頁
如果這篇文章有幫到您也麻煩您按個讚並分享出去,謝謝您!

有 55 則迴響於 殭屍電腦入侵交大?

  1. Ted 說道:

    看來交大宿舍裡很多殭屍喔 XDDD

    防堵垃圾留言感覺還是用驗證碼比較有效 😛

    • 高登 說道:

      我一直沒設留言驗證第一是想讓大家留言時更簡單,還有就是故意引來像這樣的留言者好來封鎖他,因為這些人除了留言之外還會做更壞的事,不能不防!

  2. K 說道:

    其實我還挺贊成留言加個驗證碼的:)
    如果說 有心要溝通互動的人
    加個驗證碼也不過幾秒鐘
    相信不至於造成負擔
    也同時更有效防制一些垃圾訊息的發送:)

  3. 子健仔 說道:

    原來殭屍電腦的問題如此嚴重......

  4. meowlike 說道:

    其實不要講交大.....台灣的資安觀念真的太薄弱太薄弱了

    當然一部分也要歸功微軟那麼容易中木馬啦.........XD

  5. Rex 說道:

    64.233.172.1,這個是我垃圾留言裡的其中一個ip,用高登大的那個網站搜尋是Google的說!?(・_・;?

    • 高登 說道:

      要再確認,用tracert查沒有rDNS的資料,你查一下真正Google的IP 66.249.68.85 是有rDNS的
      這種情況有可能是有人租用Google的主機在作怪,除了自己擋之外試著向Google反映也是一個辦法

  6. orange 說道:

    高老爺子 AVG是不是又掛了? 最近掃毒掃出iexplore.exe(3360)
    iexplore.exe(3360):memory_0e850000
    iexplore.exe(3360):memory_0e860000
    iexplore.exe(3360):memory_0e870000...
    諸如此類的 不知道是病毒 還是誤判 不太敢刪 也不感隔離 請檢查 謝謝

    • orange 說道:

      通通是Win32/PEPatch iexplore.exe(3360)這樣子 100多個 請幫我看看 到底出了什麼問題

      • 高登 說道:

        剛才查過沒有誤報,是你的電腦中毒AVG解不掉
        去下載 BitDefender Rescue CD 燒成光碟,用光碟開機掃掃看,這一個沒介紹過但是滿有效的,請參考我幾篇開機光碟掃毒的文章

        • orange 說道:

          可是我用網路掃沒有出現這樣的問題耶

          • orange 說道:

            我剛剛又用了一次AVG掃描 又沒問題了 真的是這樣嗎? 您告訴我的開機光碟 用了也成功開啟了 東西跑完以後 又重開機了 這樣代表沒問題嗎?

          • 高登 說道:

            1. 防毒程式不會那麼無聊沒有毒還一直出警告
            2. 防毒擋不住才會一直出現相同的警告,所以要換別牌的掃
            3. 線上掃毒有很多盲點不一定能掃得到毒
            4. 那個開機光碟掃完了要會看結果,很簡單的幾個單字看不懂的話貼上來,不是在那裡猜到底有沒有毒
            5. 防毒掃毒有很多牌子,大部份都有免費試用期,你正好可以用來測他們的抓毒能力
            這樣子的回答應該夠詳細了吧?

  7. orange 說道:

    我進入開機光碟以後 選了第1個選項 然後就看東西跑(跑了三個) 接著又回到開機主業了

  8. 涼風 說道:

    台灣還是很多人不懂電腦
    我常幫人家灌電腦
    電腦裡就會有Foxy
    真是棘手的問題
    再來就是很多垃圾信件
    多到爆掉
    裡面還隱藏著恐怖的木馬

  9. orange 說道:

    c:\windows\system32\drivers\emvscard.sys

    請問這個檔案是什麼"emvscard.sys"

    去查過了 不過都沒有好消息

    對了 我現在bitdefender-rescue-cd連畫面都沒有辦法進入 只會一直重開機 請問這是不是代表我電腦不能使用它

  10. orange 說道:

    本來可以進去 但現在不知道為什麼只會到DOS畫面_ 然後又要我按任意鍵 然後又到按F8的畫面

  11. 路人 說道:

    所以大家一起來用 linux + x-window(毆) , 搞不好台灣 linux 盛行之後
    linux virus 也會多起來 = =

  12. 邱小剛 說道:

    高登你好:昨天不小心把我電腦的多媒体喇叭程式及資料夾給刪了,導致喇叭都沒聲音,控制台裡的新增移除 瑞昱音效管理程式喇叭小圖示也不見了)要如何知道自己是使用那種版本及驅動程式呢?因現電腦內幾乎找不到該喇叭相関訊息,能幫我解決此問題嗎?謝謝你們(我是XP的)

  13. 阿牛 說道:

    高登sir:
    我的電腦不知道是不是變成所謂殭屍電腦了
    今天我上個廁所不到兩分鐘回到我的電腦前
    發現我的即時通被登入???
    而且....登入的不是我自己的帳號
    是個"陌生人"的帳號
    我又到奇摩首頁 發現我的電子信箱被人家登出
    我懷疑是被入侵 於是我用MCAFEE掃毒
    但是掃都掃不到
    又去微軟下載惡意程式偵測軟體
    卻也都什麼都沒有
    而我用你測試的那個方法(網路連線狀態)
    也沒有你說的那種情況
    但是我覺得今天的事情真的很詭異
    我很擔心又會有下一次 請高登大幫我看一下是什麼問題~~
    感謝(跪

    • 高登 說道:

      有一種殭屍可以被遠端遙控,就像是對方在使用你的電腦那樣,這種的網路流量就比較不會那麼大,不過你可以電腦停半個鐘頭都不要有網路活動(記得即時通之類有連到網路的程式都要關閉),然後開DOS視窗輸入 netstat -an 看是不是有連到外面的可疑 IP,不過這一招不一定靈,我就遇過明明知道是殭屍電腦,但是卻沒有任何對外連線的案例
      至於防毒掃不到,我只能說這是一定會的,每一牌的都會,但是既然知道這一牌掃不到了不妨換另一牌試試,或許就可以掃到了

      • 阿牛 說道:

        高登大:
        可是我輸入netstat
        跑出一堆我看不懂的東西 但是裡面沒有出現任何類似IP位置的東西
        想請問說要怎麼輸入您說的 netstat-an 這串命令呢???
        感謝

        • 阿牛 說道:

          有了 我有看到一堆IP
          他的第一行(直的)除了第一個IP不一樣以外 其他的都一樣
          proto Local Address
          TCP 127.0.0.1:5152
          TCP 192.168.0.102:1313
          TCP 192.168.0.102:1314
          .
          .
          .
          但是就是第一個"127.0.0.1:5152"跟別的不一樣
          這是不是就是所謂的"奇怪IP"呢??
          如果我的電腦真的變成殭屍電腦怎麼辦?
          感謝>>>

          • 阿牛 說道:

            不過我在把所有瀏覽器關掉後
            出現的是:
            Protoo Local Address
            TCP 127.0.0.1:1458
            TCP 127.0.0.1:1470
            TCP 127.9.9.1:5152
            TCP 192.168.0.102:1479
            TCP 129.168.0.102:2869
            TCP 192.168.0.102:2869

            而右排:
            Foreign Address
            127.0.0.1:5152
            127.0.0.1:5152
            127.0.0.1:1470
            124.108.100.226:80 ->這個又跟其他的不一樣
            192.168.0.1:3707
            192.168.0.1:3707

          • 高登 說道:

            127.0.0.1 跟192.168.0.102 都是你自己,有問題的是 127.9.9.1 這個沒見過,還有 124.108.100.226 是連到日本Yahoo,你是還有什麼程式在上網連線嗎?如果沒有也是問題很大
            這樣查的方法是讓你確定網路有不正常的連線,但是到底是什麼程式在連線還是要找防毒軟體或是裝防火牆來測才知道,我怕這已經超出你能處理的範圍了

  14. 阿牛 說道:

    高登大:
    上網程式...是指IE瀏覽器嗎??我都只使用IE
    而且我也沒有去上日本奇摩耶??
    會不會有人在日本入侵我的電腦阿??
    天阿真是可怕....雖然以我的能力只能了解一點點
    不過高登大我真的很感謝您~我如果有進一步的資訊再來請教您
    感謝Orz.... 病毒真的很可怕耶

  15. toppy368 說道:

    我的Blog常常出現這種留言,一推無效的網域,而且留言者的IP看樣子好樣一堆IP,沒辦法個別封鎖,之前是德國現在換義大利,看樣子我恐怕得翻書了

  16. mzidbh 說道:

    中興大學圖晝館一樓資訊檢索區,最近換了批新電腦,但是這些電腦有病毒(會感染隨身碟),不只沒安裝防毒軟體,微軟和各大防毒軟體公司的網站還不能連上,反映了許久,也都一直不處理!

  17. 想裝3個~ :D 說道:

    請問您
    關掉後(除了AVG和Avast)
    每秒兩三百正常嗎?

  18. 我有問題 說道:

    請問..
    我的網際網路開了之後已收到和已傳輸都跑得很快
    不過收到的還是比傳輸的多
    我的電腦是出了什麼問題嗎??

  19. 雛子 說道:

    高登老師,您好:
    昨天回家冒險登入信箱了T_T
    六日再撥電話給您,希望不會造成您的困擾。謝謝您
    不過在這之前我有這上面您說的做一下測試,才連上網路,甚麼都沒開,一下子而已不管是已傳送或已接收全部都跳得飛快。〈其實這時我心臟有不規律的跳動了好幾下XD〉
    大概在連上4分左右時,已收到已經6795604,已傳送也有479985。
    在收完信又再看一下,那時已連線時間25:10,已傳送7位數,已收到則有8位數。
    而且上網後CPU使用率也起伏的挺大的,6.10.4.6.7這樣的,如果都沒有就0或1%這樣。
    因為我是初心者也不知這樣正不正常拉,不好意思!只是覺得多問然後如果我能夠因此多學就太棒了。感謝您。

  20. 雛子 說道:

    再向高登老師報告一下,PPS跟監控那篇文章我都有看過了。
    我沒有裝PPS,監控那個等能上網我再回家測試一下好了。感謝~

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

首次留言要通過審核之後才會出現在版面上,請大家不要重覆留言。如果留言的內容與本篇文章無關、廣告留言、商業網站連結、假的網址或信箱的那留言可能就會跑到火星去哦!如果怕忘記在哪一篇文章留言,你只要在下面的e-mail通知那裡打勾就可以收到留言回覆的Email,謝謝大家的配合!

Clicky Web Analytics Free PageRank Checker feedburner