如果你是一名在校大学生,而且在宿舍上网,那么这篇文章将非常适合你阅读,因为文中所述正是千千万万大学生都需要注意的问题....
查名原因 别做校园里的冤大头(上)
引言:如果你是一名在校大学生,而且在宿舍上网,那么这篇文章将非常适合你阅读,因为文中所述正是千千万万大学生都需要注意的 问题。
流量正在丢失
我的朋友张俊是一名在校大学生,他的电脑放在学校宿舍,平时都是通过登录学校的服务器上网。最近他发现自己使用的流量大大多于 估计的流量。本月计费周期仅仅过去三天,流量就几乎用去一半。按理说QQ聊天不会耗费那么多的流量,但是流量怎么会平白无故消失呢?他 觉得电脑可能中了木马或者病毒,于是立即向我求助。
//图1
Easy 提示:大学校园的网络服务一般有两种:一是包月不限流量,二是包月限流量。我的朋友选择的就是30元包1GB流量的套餐。所 有,如果流量莫名其妙地被耗费,就意味着买流量的钱也白花了。
{ad}初次交手,这个“木马”不简单
根据他的简单介绍,我也怀疑系统中有木马或者病毒,因为木马或者病毒最喜欢向外发送垃圾信息——这有可能是造成流量丢失的原因 。于是我马上运行瑞星杀毒软件对系统进行一番狂扫,但结果却让我大跌眼镜——瑞星报告没有任何病毒。难道不是病毒惹的祸?
//图 2.
查名原因 别做校园里的冤大头(中)
小心翼翼,继续排查
因为上网所用的登录账户和密码默认是班级学号和“123456”,我想可能是他没有即时更改用户密码而被他人盗用。于是我又对他进行 了询问:“这个账户是不是只有你一个人在用?初始密码改了吗?”他说:“只有我一个人在用,初始密码在我第一次上网的时候就改了。我 记得昨天登录时剩余流量有800MB,然后打开QQ聊天,大约一个小时后就退出登录了,退出的时候程序提示还有500MB剩余流量。刚才你来的时 候这500MB流量还在,那300M流量应该是在我使用QQ的时候用掉的。”听他这么说,我打开天网防火墙,把所有正在运行的程序大致看了一遍。 这时候,一个熟悉的示波器图标映入眼帘,这个程序是“ReSer.exe”。通过天网防火墙的应用程序网络状态中可以看到,该程序正在监听 “136”端口。
//图3
{ad}ReSer.exe在做什么
只是看到该程序在监听端口,并不能确定它到底在做什么。因为程序的图标和一款名叫“CCProxy”的代理服务器软件一样,所以我觉 得这个程序很可能就是“CCProxy”。根据天网中提示的地址,我用资源管理器找到这个程序,在同一个目录下还有一个“CCProxy.ini”文件 ,这就完全证明了“ReSer.exe”就是“CCProxy”代理服务器程序,只不过被修改了文件名而已。打开“CCProxy.ini”,可以看到其中有两行 :
SOCKS=136
StartSocks=1
这代表该程序运行的时候打开了Socks代理,开放的端口号是“136”。
//图4.
于是我运行QQ程序,在网络设置选择Socks5代理,并填上本机IP地址“127.0.0.1”和端口号“136”,点击“测试”按钮,程 序提示“代理服务器工作正常”。
//图5.
查名原因 别做校园里的冤大头(下)
真相大白
本以为是木马或者病毒在作怪,但结果让我大吃一惊。这个代理服务器开机自动运行,也不在系统托盘中显示图标,神不知鬼不觉。由 于学校中所有电脑都处于一个局域网内,所以当他的这台电脑登录到学校服务器开始上网的时候,局域网中的另外一台电脑就可以通过他电脑 里的代理服务器上网。当然,这台电脑上网所耗费的流量全部都在我朋友的账号上,而我的朋友则充当了一个替人买单的冤大头角色。
Easy 提示:张俊是怎么充当冤大头的?
代理服务器运行在可以访问Internet的张俊的电脑上(假设为A),网络中其他不能访问Internet的电脑(假设为B)如果需要访问Internet ,比如浏览网易http://www.163.com,B就会把浏览请求发送到A,当A收到来自B的请求,就会按照B的要求获取站点信息,并把信息发送到B。 要耗费流量的地方,就是访问网易的时候,但是这个本应该是B自己完成的环节,却让张俊的电脑A代劳了,所以造成了他的流量丢失。
警钟,再次响起
后来的实验表明,虽然“CCProxy”需要通过安装程序来安装,但是安装后的“CCProxy.exe”却可以单独运行,运行的时候会自动生成 一个“CCProxy.ini”配置文件。
//图6.
{ad} 把“CCProxy.ini”和“CCProxy.exe”复制到任何一个文件夹下,再修改“CCProxy.ini”中的以下字段即可完成设置(//为注 释语句,不在INI文件中)。
SOCKS=136 //Socks代理端口号136
AutoHide=1 //运行后自动隐藏
AutoRun=1 //开机后自动运行
StartSocks=1 //启用Socks代理服务
AllHide=1 //全部隐藏,不显示图标
完成设置后,通过系统IPC$漏洞入侵网络中的其他电脑,并把这两个文件复制到对方电脑中一个隐蔽的系统文件夹中(如 “C:\WINDOWS\PCHealth”),然后再用AT命令就可以定时启动在对方电脑上的程序。只要没有发现该程序的存在,对方就会一直充当代理服务 器的角色,杀毒软件也不会进行提示。
Easy 提示:本文旨在提醒广大同学要注意局域网中电脑的安全,详细的入侵过程就不在这里赘述了。
如何避免充当冤大头
1.给系统打补丁。就算是Windows XP SP2也有不少的漏洞,只有经常进行更新,给系统安装补丁程序才能降低风险。
2.注意密码安全。很多同学对密码的设置很不合理,绝大多数在安装完系统后居然不对管理员用户(如Administrator)的密码进行设置 ,或者简单地设置为“123456”。这是非常危险的,由于管理员用户的权限很大,对方利用这个账户可以在你的硬盘里塞满木马,应当尽量把 密码设置为含有大小写英文和数字的混合密码。
3.关闭系统默认共享。NT系统(包括Win2000、XP)都有系统默认共享(点击“开始”→“运行”→“cmd.exe”→“Net share”可以进行查看)。这些共享可能给系统安全留下隐患,必须关闭。打开“Windows优化大师”→“系统性能优化”→“系统安全优化”, 勾选“禁止用户向Windows XP建立空连接”、“禁止系统自动启用服务器共享”和“禁止系统自动启用管理共享”这三个选项,点击“优化”按钮后根据提示重新启动电 脑即可。
4.安装网络防火墙软件和病毒防火墙软件。网络防火墙(如天网防火墙)可以有效地阻止网络上的攻击行为,一般情况下安全级别选择“ 中”即可。但是一定要注意,当某个程序初次访问网络的时候,天网防火墙会弹出警告提示窗口,这时候一定要查看访问网络的程序是不是可 靠,如果不能确定,则一定要点击“禁止”按钮阻止该程序访问网络。病毒防火墙(如金山毒霸)则可以保证系统中的文件不含病毒,一般选择 默认级别。同样的道理,如果病毒防火墙发现病毒文件也会弹出警告窗口提示你,这个时候根据情况选择“删除”或者“杀毒”处理即可。
5.不要轻易点击某些文件。并不是可执行文件才会对系统造成损害,BAT文件,VBS文件,甚至是Word文档中的宏都可能含有病毒。所以 ,任何一个文件都要先进行杀毒处理,确认没有病毒过后才打开。
6.思想要转变。并不是做到了上述几点就能百毒不侵,杀毒只是事后补救,防毒才是最重要的,大家平时应该多积累一点安全方面的知 识。
网友评论