情况非常紧急！请大家注意！ [复制链接] [加入收藏]

大家所在地的网吧里一般是怎么保护上网的顾客的安全的？
我们本溪是硬盘保护，网络式的加本机的。因为不太懂网吧的电脑那些事儿，所以只能简单的描述一下。

那个都是重启动后，所有数据都恢复成原来的样子。除非是网吧下木马，否则不大可能在机器里留有木马。

另外对于木马的种类，我也小小的分析了一下。

目前遇到过的木马，最普遍的是盗QQ的和盗网游ID的以及针对银行帐号的钓鱼网站。
而针对网游的木马又分别针对不同网游有不同的木马。比如盗WOW的就是盗WOW的，盗不了传奇的……

木马的运行进程一般都很小，太大的话占CPU资源，在任务管理器里都能发现。

而且目前网吧为了自己的生意，一般在本机上都有杀毒程序和防火墙。一般是网络版的。所以中下木马的可能性一般就是前一个人上机，解了防火墙等东西，然后下载了木马在里面。下一个人上机的时候，没重启动机器，就直接玩了。但是目前的情况是，下机的时候，到网吧柜台结算，一般那边就远程把机器关了，当然黑网吧不一定是这样做。

再说说论坛ID的被盗的事例。曾在很久前听说过某种代码的论坛数据库不太严谨，所以通过某种手段，可以登陆论坛所在服务器，并且盗取论坛用户的数据库。一般这种情况是全论坛的数据都丢……在下曾经在某论坛做过管理员，轻微的了解一点儿这个事儿！

论坛的数据，一般如果保存COOKIE的话，机器如果重启动，很大可能会消失记录。当然有的也不一定。木马的盗取过程，一般是监视某数据包或者某变量。毕竟像QQ、网游，这都是基于程序里的，所以只要监视这个程序是否运行，然后再针对某个数据段，就可以记录下ID和密码的情况了，但是进论坛是通过IE，木马如果每在打开IE就进行监视，就会产生很大量的记录信息。所以一般情况下，木马为了自身的隐蔽性，不会如此，对IE进行监视。

综上，楼主丢QQ同时丢论坛ID的情况最大的可能是进网吧上网，没重启动机器，进AC论坛保留了一年COOKIE（或者开了自动保存密码的功能），而且机器上没开杀毒程序和防火墙。

因为一台网吧的机器里同时有两种木马（盗QQ和盗论坛ID）的可能性非常小。而且由于目前网吧的情况，盗楼主QQ和论坛ID的，很可能是网吧的人。也可能是楼主下机后没关QQ和IE，下一位上机的人直接就利用了楼主留下的东西。但是看了前面的回贴，说论坛ID的密码被改过，信箱没改，又找回来了……所以不太可能是利用COOKIE或者是利用没关的IE进行的盗窃论坛ID的动作。因为那样的话，没有原始密码，是改不了论坛密码的。如此一看就是盗ID者知道这个ID的密码。借过别人？不可能……因为冒充者是楼主不认识的……

所以这机器上一定是有针对IE的木马。在下仔细的在网上搜索了一下，WPE可以利用封包技术盗论坛的ID。但是——用过WPE的朋友都知道，这个是不可能发生在楼主身上的。因为WPE截取本机数据封包的时候，需要在本机调用，还得对内存上的数据进行分析和筛选。所以这个方法被排除了！

咨询他人的时候，有朋友说，可能是QQ和论坛ID的名字一样，密码又一样，所以盗了QQ就同时盗了论坛ID。可是，只盗了QQ的话，你怎么知道这个QQ的主人是上AC的呢？QQ的个人资料里有网址？我想AC的地址不会有人记不住罢？所以这种说法的成立性也不高！

近期论坛ID被盗的现象很多，除了论坛本身安全性低的隐患造成的批量ID被盗以外，再就是有针对性的盗窃。比如用穷举法或者冒泡来推算。不过这个比较耗费时间，而且AC论坛规定连续输入错误几次后，就不让再登陆了。所以楼主的ID不是这样被盗的……

真相是什么呢？论坛的ID是怎么被盗的呢？怎么会被他人使用呢？QQ也被盗了……

大家一定要提高自己的安全认识了！如果到了发个交易贴也要实名认证的地步，那可就悲哀了！

关于盗取论坛ID的一些方法：
以下是暴力破解法，也可以称为猜法或者推理法

转贴正文：

原帖地址：http://bbs.sycatv.net/thread-105956-1-2.html
自己动手，进那些要邀请才能注册的论坛。
前几天，共享的霏凡论坛ID被改密码，很郁闷，一个论坛ID而已，大家共用一个不行么？非得据为己有？！
授人以鱼，不如授人以渔。
现在教给需要的人一个很简单的办法，不用什么高深技术，说穿了人人都会。一个字－－“猜”。
网络上有不少的帖子是提醒大家注意密码安全，说不要用简单密码，不要把密码搞得和ID相同，不要用生日做密码等等等等～～～虽然有N多人知道这是老生常谈，但总有那不怕死的！
很欣赏《天下无贼》里刘德华对傻根的观点，对这种不怕死的，盗他的密码是为了教育他，行善哦！
以霏凡论坛为例，作为没注册的游客，有些版块咱们进不去，但是总有些版块是可以的吧？！比如“口-
超级灌水
”版，进去后，里面的所有帖子都有作者和跟贴者的名字，找那些名字不复杂的盗，名字简单的人密码通常也不会难到哪去。比如前段时间共享的“zjj1988101”“少侠剑客”“李小龙本人”，原密码分别是1988101、123456、123456。够简单了吧！头一个，他把密码公布在自己名字上，后面俩用简单密码，对于123456这个数，一个人数在5000人以上的论坛里，算少点，至少有20个用123456做密码的。还有的简单密码是123123、123456789、或者就是密码和名字相同的。
不要说这很麻烦，若你真的非常想得到一个单独的ID，你就会很有耐心。
这几个论坛都有个5次的限制，就是说你若连续输错密码5次，就会有15分钟上不去。这个无所谓，先搞龙族，这个论坛限制的很死，错了5次后去搞霏凡，霏凡的限制很搞笑，在同一个ID上错5次才限制，也就是说你只要不死盯着一个ID搞就可以无限制地进行下去，每格15分钟再去试一下龙族好了。
还有，龙族虽然限制得厉害些，但是里面安全意识差的会员比较多，相对于霏凡要好搞些，霏凡可能就是由于限制得松些，ID丢失得比较多，会员的安全意识都大大提高，傻根受到教育了！
对于昨天的那个萧心论坛，那第一个ID是怎么来的在这里不能公布，那算是核心技术了。萧心限制的特别死，不是注册会员的哪个版都进不去，不过有少数的会员名字在版块列表那可以看到，虽然少，也不是没希望的。只要有了第一个ID就好说了，进去后，里面的傻根多得很，这估计就是萧心论坛限制比较狠的缘故，里面估计很少丢ID，简单密码太多。
由于前次共享的霏凡ID丢失，在这里再公布一个，这个是要积分在1000以上且要回贴的才能看到，没满足积分1000的回贴后也看不到的。
希望知道后不要公布，所有用这个ID的都集中在这一个帖子里，以后万一丢了大家心里也有个大概范围～～没办法中的办法了～

LS的累不累啊
说PZ就是LZ不就得拉

再转一个比较常见的盗号手段：
就是利用发送XXX.DOC...............EXE

转贴正文：
上次说了一个：询价单.doc..........................exe的文件不能接，这次还是一样，但是文件名称不同了，发送的方式也不同，大家还是要注意了！！！

      其实最早的时候是贸易通上一个聊得不错的商友给我发过来的（这里就不透露是哪个ID了），当时没想就接了，但是在保存的时候一看，后面怎么多了很多的 ................之后就是一个.exe的文件，当时就起疑心了，不接，然后关掉，再发信息去问为什么发这些文件给我，对方还说是一个不错的文件，推荐给我的，但是我问为什么后面是.exe的文件，是一个安装的程序啊，对方就避开话题不直接回答我，还说有同事打开看了，是不错的文件，所以才推荐给我，后来我想想看到底是玩什么花样，就叫对方再发一次

      还真的发过来了，我接了之后保存在桌面，然后用我的瑞星杀毒软件一杀就没了，我就知道是一些骗子把对方的ID盗取了，真为对方捏了一把汗啊，这么不小心的，还是一个不错的商友。

    直到过了一个月左右的时间，该商友再次上线的时候我问了为什么发病毒过来，对方说是给盗了ID，还能取回来，真上为对方感到高兴啊。。。

    最近这些黑客又来了，连续发了几次这些文件过来，我想都没想就直接关了。。。


上次的文件谢谢管理员推荐给众多的商友去看，这次还是一个提醒，就算是你的商友也好，发送的文件都要多注意了，可能就是盗取你密码的木马程序，收文件的时候多个心眼，看看文件的后缀，如果是 .exe的文件就要多加小心！！！！

引用第122楼coolhuan于2007-02-04 12:22发表的:
LS的累不累啊
说PZ就是LZ不就得拉 [表情]

我没这意思……你别挑！
我只是分析一下，让大家以后上网的时候小心些！
加强些安全防范意识。

转一个加强论坛防范安全的贴：


转贴正文：

论坛安全注意事项若干。
一、密码过于简单的请重新设置。

　　简单密码指：123456、654321、1111111、abcabc、123123……所有仅仅用字母或数字组成并且排序方式单纯的密码，目前论坛已发现不少因为密码简单被暴力破解的ID，盗号者利用这些ID发布广告、木马、带毒视频链接，以修改原帖的方式发布带木马链接等，手段极其狡猾。保护好自己的ID是对自己负责也是对论坛和其他用户负责，我们不排除将一些ID当作本身就是盗号者ID直接NUKE的可能性。

二、不明链接不要点击。

　　任何人发布的任何链接，都请确保你确认其一定没有问题的情况下再点击，并且点击之前，注意看一下IE左下角的状态栏，比如下面这个链接：
　　http://我是木马哦.我是木马哦.我是木马哦
此网页不属于NGA网站，NGA不保证其安全性
继续访问 取消 不再提示我[ http://我是木马哦.我是木马哦.我是木马哦http://www.miaom.com ]
　　真实地址并不是你看到的miaom.com，而是url标签里的<http://我是木马哦.我是木马哦.我是木马哦>。盗号者可能会利用这种方式散布木马，请确认IE左下角状态栏中的地址不是不明链接。

三、被编辑过的带链接帖子，尤其是带视频链接的帖子，都尽量不要点击。

　　上面说过，可能是被盗ID，也肯能是注册来骗人的ID，都可能用这种方式来传播木马：
　　发布一个热门视频/话题，在回帖超过一定数量并且讨论热烈的时候，修改主帖的链接到一个带有木马的地址，利用人警惕心的下降作案。
　　所以，不管一个帖子回帖有多少个，点击链接之前都不能掉以轻心。

四、不要贪小便宜、好奇心太强。

　　代练、卖号、金币广告，都可能直接含有木马链接，或者有木马的JPG图片，好奇心太强害死猫，此为至理名言，对“9大职业金色装备一览”“一区老督军骑上神兽攻击力达到5800”“九职业打钱圣地一览”“穷汉子都来瞧”之类的题目，应该人为的产生免疫力。

五、打好windows补丁。

　　千防万防，不如做好基础工作。勤打补丁可以帮你避免很多不必要的麻烦。

----------------------------------------------------------------------------------------

另外，今天查到一起盗窃他人ID修改原帖发布带木马链接的事件，盗号者的IP显示为：四川省成都市 网事随缘网吧。

有条件的用户，可以去这个网吧溜达溜达。



由于目前全国网吧统一管理，所以冒充者如果是在正规网吧上网的话，通过IP可以查到是具体的什么网吧甚至是真实身份！个人家庭用户可以查出所在地区。

建议，AC在注册的时候 要求论坛密码必须数字加英文（小写加大写）并且在8位以上
否则太容易猜了！！

学习中~~

我个人从来没有去网吧的习惯。我的坚持认为是骗子先黑了我的QQ，再查里面的聊天记录，然后再行骗的。

推荐楼主安装正版杀毒软件
以前我用诺顿和卡巴
目前用正版金山

查一查看看机器里是不是有盗QQ的木马罢
一些色情网站不要去！
随便的连接也别点

论坛的ID丢失实在是太让人遗憾了！
难道是你的ID密码太过简单？
我可是数字英文大小写加符号的

事实怎样很难说得清了

推荐楼主安装正版杀毒软件
以前我用诺顿和卡巴
目前用正版金山
查一查看看机器里是不是有盗QQ的木马罢
一些色情网站不要去！
随便的连接也别点
论坛的ID丢失实在是太让人遗憾了！
难道是你的ID密码太过简单？
我可是数字英文大小写加符号的

我用的是卡巴 电脑显示已经杀毒。

引用第128楼spawn918于2007-02-04 13:54发表的:
我个人从来没有去网吧的习惯。我的坚持认为是骗子先黑了我的QQ，再查里面的聊天记录，然后再行骗的。

LZ是QQ会员？如果不是会员，是无法下载查看你的聊天记录的，只能在你自己的机器上才能看到，如果你不是QQ会员，那骗子就是能接触到你电脑的人，这个范围就很小了～～

引用第128楼spawn918于2007-02-04 13:54发表的:
我个人从来没有去网吧的习惯。我的坚持认为是骗子先黑了我的QQ，再查里面的聊天记录，然后再行骗的。

聊天记录是保存在本地的,就算远程盗了你的QQ也看不到聊天记录的~~

是什么病毒那么厉害啊？
看看杀毒记录里的病毒名字
也提醒下我们
我也得查查自己的电脑里有没有了……
这个东西必须要解决的……毕竟要过年了，需要钱的人很多。
杀毒记录应该不会删罢？病毒名字是啥？我就怕我电脑也中这个毒……

引用第132楼hunter271于2007-02-04 14:37发表的:
LZ是QQ会员？如果不是会员，是无法下载查看你的聊天记录的，只能在你自己的机器上才能看到，如果你不是QQ会员，那骗子就是能接触到你电脑的人，这个范围就很小了～～

同问 同迷惑   继续关注

关注事态的发展!!感觉这事是有点不沉常，希望被骗的兄弟能早日拿回被骗的钱，也希望BS能早日绳之于法!!

关注
等楼主来解释一下大家就明白啦！
或者骗子去过他家，用过他机器……可是他说不认识骗子……所以……蹊跷

引用第128楼spawn918于2007-02-04 13:54发表的:
我个人从来没有去网吧的习惯。我的坚持认为是骗子先黑了我的QQ，再查里面的聊天记录，然后再行骗的。

聊天记录好象只能保存在一台电脑中，不会是谁把LZ聊天记录从电脑里又拷贝到别的电脑了吧！然后慢慢

品味

楼主出来解释一下上面兄弟提出的问题啊！大家都在看着呢！