台灣之光?

昨天才看到國內外許多媒體報導:諾貝爾和平獎網站駭客入侵 疑似來自交大這一則新聞,對電腦比較熟悉的人第一個想法都是:被當成跳板的吧?

而會造成這種現象的原因就是:「殭屍電腦」大猖狂了!或許你家也有「殭屍電腦」也說不定!

以這種方式上國際新聞的版面實在是不光榮,更何況是發生在台灣數一數二的明星大學,所以大家就不要再笑其他國家有多落後了,因為自己也好不到哪裡去!

什麼是殭屍電腦

殭屍電腦」(Botnet或Zombie)指的是網路上一群受遠端控制而不自覺的電腦。其實我比較喜歡「傀儡電腦」這一個稱呼,但是最近大家好像都是講「殭屍電腦」,這兩者指的是同一種電腦。

為什麼會變成殭屍電腦:這是因為電腦中了某些類型的木馬病毒(Trojan),有些木馬只是偷你的檔案或是個人帳號密碼,但是有些木馬是會在你的電腦開啟「後門」,讓別人從遠端進入你的電腦並遙控它。

什麼人在遙控殭屍電腦:當然是下毒的人!但是有時候並不是真的有人在控制,而是叫這些被遙控的「殭屍電腦」到一台指定的主機去接收新的指令。

殭屍電腦的目的是什麼:主要是發送垃圾郵件,到各網站自動留言,感染更多的電腦,依指示發動DDoS服務阻斷攻擊癱瘓網站,或是最近常見的利用殭屍電腦去感染網站主機,然後這個網站又會讓更多瀏覽網頁的人中毒。像諾貝爾和平獎網站被駭客入侵就是這種模式。

你的電腦是殭屍電腦嗎?這當然要比較專業的知識才能夠判斷,但是裡先教大家一個最基本的觀察方法:請你先將電腦連上網路,然後關閉所有可能會有網路活動的程式,像是瀏覽器、MSN、即時通、網路收音機、BT、PPS或是我一直叫你不要用你還在用的Foxy,然後點開寬頻連線(使用撥號上網)或是區域連線(使用IP分享器上網或電腦一開機就可以上網的第四台線路),觀察這個連線狀態:

殭屍電腦入侵交大?

如果一直有跳動很快的已傳送/已接收,或是放很久之後已傳送的數值遠大於已接收的數據,那你的電腦就很有可能已經中獎了!

而且請記住一件事:目前的防毒軟體沒有一套能完全防範這一類中毒情況發生,或許你身邊的人會告訴你某某防毒很好,都「不會中毒」!但是我告訴你我一天到晚幫人家修電腦,「每一個牌子」的防毒都有中毒很嚴重的案例,有的是解不掉有的是完全沒警示,所以防毒軟體不是100%這樣的觀念一定要有。

殭屍電腦番外篇 - 垃圾留言

其實我很早就想寫「殭屍電腦」的文,像之前的連不上高登工作室嗎?已經講到「殭屍電腦」,照講應該很快再發一篇文說明什麼是「殭屍電腦」。但是就在構思如何下筆的時候就發生了諾貝爾和平獎網站被駭的新聞,而且過了一天在我的網站後台竟然出現一連串的垃圾留言:

殭屍電腦入侵交大?

這些留言當然被強大的WordPress系統給擋下來了,但是就在跟往常一樣要在主機設定封鎖這個垃圾留言IP的時候,用 WhoIsHostingThis 一查,結果是位於交大的IP

殭屍電腦入侵交大?

再用 Traacert 反查,更清楚來源是在交大的宿舍中的電腦!

殭屍電腦入侵交大?

除非這些垃圾留言是那位交大學生賺外快所留的,不然幾乎可以肯定那一台電腦已經成為別人遙控來作為垃圾留言的「跳板」了。而留言的時間從半夜的一點多到兩點多,也不確定那位電腦的主人有沒有在使用,如果沒有在用的話就是電腦長期沒關在「掛網」,而這一種24小時隨叫隨到的「殭屍電腦」可是他們駭客的最愛。

為了更了解一下對方是從哪裡來的,我試著從主機的Log記錄查,用留言者的IP查到了對方的連線記錄,結果是只有一個來源網站(Refer)是checkcheck4a.com這個網址,但是去查這個域名的Whois竟然是沒人註冊的!

殭屍電腦入侵交大?

一連串的留言還有另外有checkcheck5a, checkcheck6c兩個無用的連結,我在猜這個駭客可能會去註冊這幾個域名然後作什麼壞事!?

於是我先把這個被當跳板的 IP 給封鎖了(不要怪我!),但是就在晚上竟然又是同一個人來留言

殭屍電腦入侵交大?

但是這一次的 IP 換到了巴西(交大的被我擋進不來了吧!)

殭屍電腦入侵交大?

所以這一次又使用了我在WordPress 3.0部落格架站十堂課新書裡面的一招:阻擋特定網站轉來的訪客(P.321),在 .htaccess 裡面加上這一段程式碼:

<code>
RewriteEngine on
# Options +FollowSymlinks
RewriteCond %{HTTP_REFERER} checkcheck4a\.com [NC,OR]
RewriteCond %{HTTP_REFERER} checkcheck5b\.com [NC,OR]
RewriteCond %{HTTP_REFERER} checkcheck6c\.com
RewriteRule .* - [F]
</code>

看你怎麼再進來留言!不過他如果看得懂這篇文章的話應該會再換一個來源網站。可是他手下的殭屍電腦為數眾多,我也只有被動防禦的份,或許真的被煩得累了,留言再來加驗證碼或許可以擋一擋。

有用WordPress架站的快去買書啦!這一本書短短幾天就登上了博客來電腦類新書的第一名,應該很快就會缺貨的(希望啦)!

至於有沒有辦法查到最源頭呢?線索都在交大宿舍那一台電腦中(當然不只一台),交大的網管人員我已經透露很多了,剩下的就是你們的工作了,抓到源頭讓台灣不要那麼難堪好嗎?