春节黄金假期,可是网络攻击远程控制的高峰期。我们在享受网络为我们带来的便捷时,也不要忘记它正悄悄地为攻击者打开远程控制的方便之门。
幕后黑手之 最简单的远程桌面
微软在Windows XP系统中,为用户提供了多个简单的远程控制功能,远程桌面就是其中一个(图1)。用户可以利用它通过网络对远程计算机进行控制,控制后可以访问所有应用程序、文件和网络资源等。
·网管眼中的5款远程控制软件·千里眼顺风耳:远程控制软件全面评测·轻松学:教你远程控制电脑·远程控制服务器的简捷方法·服务器远程控制便捷招法·远程控制从终端服务下手 三步搞定远程·远程控制 随时随地,轻轻松松·XP的远程控制使用方法·精彩:两招实用远程控制技巧·如何利用远程控制以访问内部局域网 图1
远程桌面,主要包括客户端和服务器端,每台Windows XP电脑都同时包括客户端和服务器端,也就是说它既可以当成客户端来连接其他的Windows XP电脑, 也可以将自己当成服务器端,让别的电脑来控制自己。服务器端的系统都是使用Windows XP ,而客户端就可以是Windows XP、Windows 2000或者Windows Me,并且对客户端没有语言的限制。
解析远程桌面
远程桌面作为一种方便的远程控制手段,被得到广泛应用。我们要把伸向这里的黑手斩断,就要知己知彼。让我们来看看远程桌面是如何配置的。
1.设置服务器
要使Windows XP系统成为服务器端,首先就要对系统进行设置。在“我的电脑”处单击右键,选择“属性”命令,在弹出的“系统属性”窗口的“远程”选项卡中,单击“允许用户远程连接到这台计算机”并单击“选择远程用户”。在弹出的窗口中选择“添加”按钮,在出现的“选择用户”窗口中选择可以使用远程登录的用户。如果是管理员即使没有在用户列表中也拥有远程登录的权限。至此远程桌面的服务器端全部设置完成,接着就是设置客户端了。
2.安装客户端
Windows XP的用户可以通过系统自带的“远程桌面连接”程序来实现远程桌面控制。如果用户还使用的是Windows 98、Windows 2000或者Windows Me系统,在客户端运行Windows XP安装盘中的 setup.exe ,出现 Windows XP的安装界面,点击第二项“执行其他任务”,然后选择“设置远程桌面连接” 进行安装就可以了。
3.远程登录
客户端安装好之后在“附件”的“通讯”菜单里会多出一个“远程桌面连接”,运行它,在弹出的窗口中单击“选项”按钮,展开窗口的全部。在“常规”选项卡里填入远程计算机的IP地址、用户名以及密码,然后单击“连接”按钮就可以登录到远程计算机看到桌面设置的情况,感觉跟自己的Windows XP桌面没什么分别,只是最上面多出一条工具条,显示远程电脑的名称或IP地址,操作它就像操作本地电脑一样方便。
斩断远程桌面黑手
对于个人用户来说,一般没有必要使用远程桌面,所以建议将它禁止。另外,通过网络防火墙将不必要的端口进行封堵也可以起到防范的作用。
对于服务器来说,管理员可能必须通过终端服务来进行远程管理,所以为了避免攻击者利用打开的终端服务进行远程控制,我们可以将终端服务常用的3389端口进行修改,再对管理员的登录密码进行加强,也可以起到防范的作用。
幕后黑手之 木马冰河
冰河是一款功能强大的国产远程控制软件,是基于TCP/IP协议和Windows操作系统的网络工具,冰河采用标准的C/S结构,包括客户端程序(G_Client.exe)和服务器端程序(G_Server.exe)。由于其简单易用的特点,加上强大的远程控制能力,所以是网友最常使用的一款远程控制软件。
解析木马冰河
冰河功能强大,不易被发觉,而且很难根除。在木马中,冰河可谓大名鼎鼎。下面我们就来看看冰河是如何进行远程控制的。
1.设置服务器端
首先运行客户端程序(G_Client.exe),在出现的主界面上单击工具栏中的“配置本地服务器程序”(图2),弹出“服务器端配置”窗口。窗口有基本配置、自我保护和邮件通知三个基本项。在基本配置选项中,可以对安装路径、监听端口等进行设置。自我保护选项是为了防止服务器端被删除后可以自动恢复而设置的。
图2
2.添加服务器端
单击工具栏上的“添加主机”按钮,在弹出的窗口中输入远程计算机的IP地址,并设置访问口令以及监听端口,单击“确定”后即可在客户端程序的“文件管理器”中添加一个新的服务器端。用户还可以通过单击工具栏上的“自动搜索”按钮,在弹出的窗口中设置起始域、起始地址、终止地址等,这样就可以在指定的IP地址段中搜索出已经打开了相应端口的远程计算机,搜索出的结果都会自动添加到客户端程序的用户列表中。
3.客户端操作
在客户端的“文件管理器”中的用户列表中选择要控制的计算机,登录成功后即可实现出远程计算机中的所有磁盘、文件,可以对文件进行复制、删除、打开、上传、下载等操作,感觉就像平时我们在使用资源管理器一样简单。
切换到“命令控制台”选项卡,在这里可以进行屏幕捕捉、修改远程注册表、截取密码、控制鼠标的操作。如果要查看服务器端的配置,就可以选择“设置类命令”列表中的“服务器端端配置”选项(图3),然后在右边单击“读取服务器端配置”进行查看,还可以单击“修改服务器端配置”对远程服务器端进行修改。
图3
防止冰河侵入
由于冰河已经是一个比较老的木马程序了,使用一般的安全软件都可以将它清除掉。
对个人用户来说只要定时升级自己的杀毒软件,不要轻易使用陌生人传来的可执行文件。定期检查自己的端口,如果发现自己所开端口中有高位端口如7849端口等,一定要引起重视。
对服务器来说,除了定时对系统进行升级补丁和安装企业级防火墙以外,可以采用冰河陷阱这款软件,它不但可以自动清除所有版本冰河的服务器端程序,还可以伪装成“冰河”服务器端对入侵者进行欺骗,并记录入侵者的所有操作功能。
最常见远程控制之 专业偷窥者Remote Administrator
说起Remote Administrator,可能一般的网络用户并不熟悉它。不过说起赛门铁克公司的pcAnywhere,相信大家就不会感到陌生。其实它们是同一类软件,都是远程控制软件中的佼佼者。
解析Remote Administrator
这个功能如此强大的远程控制软件是如何被“黑手”们利用,从而堕落为“黑手”们的帮凶的呢?我们一起看看。
1.软件安装
Remote Administrator和其他的远程控制软件有一些区别,就是它的控制端和服务器端都在一起,也就是说,在安装软件程序的时候会同时对控制端和服务器端进行安装,安装过程和普通的应用软件一样简单,安装完成后将出现一个“Remote Server setup”的对话框,选中“Install Remote Server as system service”选项,这样计算机一启动服务器端就会跟着启动并以后台服务的形式存在。如果去掉,也可以通过手动方式来启动服务器端。
2.设置服务器端
从开始程序菜单点击“Settings for Remote Administrator Server”来设置服务器端。单击“参数设置”按钮,弹出“Options for Remote Administrator Server”窗口。“使用IP过滤”选项可以对IP地址进行过滤设置,只有在这个IP列表中设置过的计算机才能向服务器端发出连接指令,如果用户是动态IP地址的话,就不需要对它进行设置。“端口”选项是用来进行数据传输的,默认的端口为4899。在“隐藏状态栏图标”前打上钩,这样就可以在服务器端运行后隐藏,在状态栏就没有图标了(图4)。
3.客户端运用
点击“Remote Administrator viewer”命令,在弹出的“Remote Administrator”窗口中点击工具栏中的“连接到地址”命令,然后在弹出的“连接到”窗口中进行设置。点击“连接”按钮,就开始和远程服务器端进行连接,在这个过程中会出现输入密码的对话框,正确输入后即可出现一个显示远程服务器端桌面的窗口,在窗口中即可对服务器进行控制。
将Remote Administrator阻于门外
对个人用户,防范这个专业“偷窥者”是很简单的。因为它太出名,被多家安全厂商列入黑名单,只要用户定时更新自己的病毒防火墙,就能很轻易地将它阻于门外。
但是对于服务器来说,因为有可能服务器管理员本身就使用这款软件远程管理服务器,所以建议服务器管理员将远程控制端口改变,并定时检查服务器的工作日志
假期安全小贴士:
如何知道自己的计算机受到了远程控制?
首先我们从一些计算机的特征就可以感觉到它的存在。比如,当我们将计算机连接到网络后,在不进行任何操作的情况下,出现硬盘快速转动、指示灯不停闪烁、某个程序一闪而过、防火墙的图标突然消失等异常情况,这说明你的计算机可能被别人进行远程控制了。
如何防范自己被别人远程控制?
更新系统的安全补丁。
装最新版本的杀毒软件、网络防火墙,并及时更新其病毒库文件。安装的杀毒软件最好有注册表的监控功能。
在安装了杀毒软件和网络防火墙以后,也不要掉以轻心,当某个不清楚的程序访问网络时,一定要立即果断地加以禁止。
不去一些不熟悉的网站下载文件,也不要随意地执行别人发来的文件,那怕他是你的朋友也要谨慎一些。
个人用户不要安装过多的Windows组件,对不需要的系统服务也最好加以禁用。