分析可疑流量 發(fā)現(xiàn)隱藏木馬

黑客在控制肉雞過(guò)程中，會(huì)產(chǎn)生較大的網(wǎng)絡(luò)數(shù)據(jù)流量，通過(guò)對(duì)其進(jìn)行檢測(cè)分析，可以找出可疑的網(wǎng)絡(luò)連接，并可以準(zhǔn)確判斷木馬的蹤跡。利用防火墻軟件（例如Comodo防火墻、ZoneAlarm防火墻等）都提供了網(wǎng)絡(luò)檢測(cè)功能，可以發(fā)現(xiàn)異常的數(shù)據(jù)流量信息。這里使用360流量防火墻為例進(jìn)行說(shuō)明，在360安全位置的全部工具窗口中的“網(wǎng)絡(luò)優(yōu)化”欄中點(diǎn)擊“流量防火墻”項(xiàng)，在打開(kāi)窗口（如圖1所示）中的“管理網(wǎng)速”面板中右下角的“下載速度”和“上傳速度”欄中查看當(dāng)前的數(shù)據(jù)收發(fā)信息，或者點(diǎn)擊桌面上的360安全衛(wèi)士懸浮窗，在360安全球中的“網(wǎng)速”面板中查看上傳和下載的數(shù)據(jù)總量信息，如果沒(méi)有進(jìn)行任何網(wǎng)絡(luò)操作，卻發(fā)現(xiàn)傳輸?shù)牧髁慨惓Ｔ龃蟮脑?，就需要引起警覺(jué)了。在流量防火墻中的“管理網(wǎng)速”面板中查看當(dāng)前處于活動(dòng)狀態(tài)的網(wǎng)絡(luò)程序收發(fā)數(shù)據(jù)的實(shí)時(shí)信息。雙擊其中的可疑程序，在彈出窗口中查看其詳細(xì)信息，包括文件路徑、已下載和已上傳流量、建立的網(wǎng)絡(luò)連接數(shù)量等。點(diǎn)擊“結(jié)束進(jìn)程”按鈕，可以關(guān)閉該可疑進(jìn)程。

在“網(wǎng)絡(luò)連接”面板中顯示所有的網(wǎng)絡(luò)連接信息，包括活動(dòng)進(jìn)程、協(xié)議類(lèi)型、本地IP和端口、遠(yuǎn)程IP和端口、遠(yuǎn)程機(jī)地址、連接狀態(tài)等。如果您沒(méi)有使用網(wǎng)絡(luò)軟件連接任何主機(jī)，卻發(fā)現(xiàn)存在可疑的連接，而且在其“安全等級(jí)”列中顯示非安全標(biāo)記，就說(shuō)明本機(jī)已經(jīng)成為肉雞了。在可疑連接上打開(kāi)管理菜單，可以執(zhí)行關(guān)閉進(jìn)程、查看信息、定位文件、查看文件屬性等操作。找到木馬文件后，可以將其刪除。如果無(wú)法刪除，可以使用IceSword、Wsyschk等工具，將其強(qiáng)制刪除。如果定位到的是正常進(jìn)程，說(shuō)明DLL木馬已經(jīng)注入到其內(nèi)部，使用IceSword、Wsyschk等工具查看該進(jìn)程內(nèi)部的DLL模塊，將其找出并卸載刪除，具體的操作很簡(jiǎn)單不再贅述。

切斷黑客的非法連接

黑客要想控制肉雞，必須開(kāi)啟相關(guān)的網(wǎng)絡(luò)端口，如果您沒(méi)有安裝體積龐大安全軟件，也可以使用TCPView這款小巧的工具來(lái)檢測(cè)可疑連接。在該程序主界面（如圖2所示）中可以讓所有的網(wǎng)絡(luò)連接一覽無(wú)遺，在對(duì)應(yīng)連接的“Status”列中如果 顯 示“Listening”項(xiàng)，表示其處于監(jiān)聽(tīng)狀態(tài)，顯示為“Established”項(xiàng)，表示已經(jīng)建立了連接。顯示為“Time_Wait”項(xiàng)，表示該連接已經(jīng)使用過(guò)，但訪問(wèn)已經(jīng)結(jié)束了。對(duì)于可疑連接（尤其是以紅色顯示的），可以在其右鍵菜單上點(diǎn)擊“End Process”項(xiàng)，將其關(guān)閉，或者點(diǎn)擊“Process Properties”項(xiàng)來(lái)定位可疑文件。

圖1 觀察網(wǎng)絡(luò)流量信息

圖2 查看網(wǎng)絡(luò)連接信息

值得注意的是，如果某個(gè)網(wǎng)絡(luò)端口發(fā)生數(shù)據(jù)交換，TCPView會(huì)以醒目的顏色來(lái)提示。當(dāng)然，也可以在命令提示符窗口中執(zhí)行“netstat –ano”命令，來(lái)查看當(dāng)前的網(wǎng)絡(luò)連接信息。對(duì)于發(fā)現(xiàn)的可疑連接，根據(jù)其進(jìn)程編號(hào)，可以在任務(wù)管理器中找到對(duì)應(yīng)的進(jìn)程。為了縮小查看范圍，也可以執(zhí)行“netstat p TCP”命令，來(lái)查看TCP網(wǎng)絡(luò)連接信息等。當(dāng)然，對(duì)于拿不準(zhǔn)的程序，可以打開(kāi)“http://www.virscan.org/”之類(lèi)的網(wǎng)站，對(duì)其進(jìn)行在線檢測(cè)來(lái)判定其真實(shí)身份。

當(dāng)沒(méi)有進(jìn)行任何操作卻發(fā)現(xiàn)硬盤(pán)等狂閃時(shí)，說(shuō)明有程序在后臺(tái)執(zhí)行大數(shù)據(jù)量的讀寫(xiě)操作。對(duì)于Windows 7來(lái)說(shuō)，可以點(diǎn)擊“Ctrl+Shift+ESC”鍵，在資源管理器中的“性能”頁(yè)面下點(diǎn)擊“資源監(jiān)視器”項(xiàng)，在彈出窗口中可以查看CPU、內(nèi)存、硬盤(pán)等硬件資源的使用情況。如果想找出頻繁讀寫(xiě)硬盤(pán)的程序，可以在“磁盤(pán)”面板查看各進(jìn)程讀取或者寫(xiě)入硬盤(pán)的速度信息，據(jù)此來(lái)發(fā)現(xiàn)可疑程序。

在一般情況下，除了“SYSTEM”和殺毒軟件等正常進(jìn)程外，其它進(jìn)程是不會(huì)經(jīng)常讀寫(xiě)硬盤(pán)的，如果發(fā)現(xiàn)有來(lái)歷不明的進(jìn)程在瘋狂讀寫(xiě)數(shù)據(jù)，就說(shuō)明其很有可能是潛伏的病毒木馬。在“映像”欄中選擇可疑進(jìn)程，在“磁盤(pán)活動(dòng)”欄中可以查閱其讀寫(xiě)了文件信息，對(duì)于病毒木馬來(lái)說(shuō)，可以據(jù)此來(lái)追蹤其釋放或者創(chuàng)建的可疑文件，并據(jù)此信息將其全部刪除。

找出進(jìn)程中的“不法分子”

不管黑客放置的木馬如何狡猾，其必須運(yùn)行后才能發(fā)揮威力。使用Process Explorer這款進(jìn)程管理利器，可以讓病毒木馬進(jìn)程暴露無(wú)遺。在其主界面中動(dòng)態(tài)顯示全部進(jìn)程信息（如圖3所示），對(duì)于不同類(lèi)型的進(jìn)程，Process Explorer會(huì)以不同的顏色以樹(shù)形結(jié)構(gòu)進(jìn)行顯示。對(duì)于經(jīng)過(guò)名稱偽裝的進(jìn)程，例如“expl0rer.exe”之類(lèi)的，通過(guò)仔細(xì)查看不難發(fā)現(xiàn)其蹤跡。對(duì)于拿不準(zhǔn)的可疑進(jìn)程，可以在其右鍵菜單上點(diǎn)擊“Check Virustotal”項(xiàng)，進(jìn)行在線檢測(cè)。另外，Process Explorer會(huì)將系統(tǒng)進(jìn)程或者一般進(jìn)程分別顯示，系統(tǒng)進(jìn)程包括“svchost.exe、winlogon.exe、spoolsv.exe”等，其運(yùn)行權(quán)限都比較高。而explorer.exe”之類(lèi)的就屬于一般進(jìn)程，如果在這些一般進(jìn)程發(fā)現(xiàn)了看似系統(tǒng)級(jí)別的進(jìn)程（例如“svchost.exe”等），那么毫無(wú)疑問(wèn)這就是冒牌的病毒木馬進(jìn)程。點(diǎn)擊菜單“Options”→“erify Image Signatures”項(xiàng)，可以檢測(cè)進(jìn)程的數(shù)字簽名信息，據(jù)此也可以發(fā)現(xiàn)來(lái)歷不明的不法進(jìn)程。對(duì)于DLL木馬來(lái)說(shuō)，可以點(diǎn)擊“Ctrl+L”鍵，來(lái)打開(kāi)DLL模塊顯示面板，選擇對(duì)應(yīng)的進(jìn)程，在其中查看其加載的DLL文件信息，在可疑模塊上點(diǎn)擊右鍵，利用彈出菜單可以執(zhí)行查看屬性、在線搜索、病毒檢測(cè)等操作。

利用360安全衛(wèi)士，還可以對(duì)進(jìn)程進(jìn)行有效的安全認(rèn)證。在其自帶的工具中啟動(dòng)360任務(wù)管理器，在“運(yùn)行中程序”面板（如圖4所示）中顯示全部進(jìn)程信息，包括名稱、CPU占用率等內(nèi)容。在“磁盤(pán)讀寫(xiě)”列顯示不同進(jìn)程讀寫(xiě)硬盤(pán)的速度，配合“是否占資源”列中顯示內(nèi)容，可以很容易找出瘋狂占用硬盤(pán)資源的不法程序。在“網(wǎng)速”列可以很容易發(fā)現(xiàn)過(guò)度占用流量的可疑程序。在“云檢測(cè)”列中顯示不同進(jìn)程的安全檢測(cè)評(píng)估，對(duì)于非安全的進(jìn)程，需要重點(diǎn)排查。

圖3 查看進(jìn)程信息

圖4 快速發(fā)現(xiàn)可疑進(jìn)程

對(duì)于不法進(jìn)程，利用其管理菜單可以實(shí)現(xiàn)關(guān)閉、設(shè)置優(yōu)先級(jí)、定位文件查看數(shù)據(jù)、查看模塊等操作。點(diǎn)擊“顯示進(jìn)程加載的模塊”按鈕，可以查看選中進(jìn)程加載的DLL模塊信息，從中不難發(fā)現(xiàn)DLL木馬等蹤跡。

發(fā)現(xiàn)并清除免殺型木馬

黑客之所以能夠控制肉雞，很重要的一點(diǎn)是使用了免殺技術(shù)，讓病毒木馬可以逃過(guò)安全軟件的監(jiān)控，對(duì)付免殺型病毒木馬，的確是比較麻煩的事情。不過(guò)，這類(lèi)特殊的病毒木馬并非無(wú)法探測(cè)，使用一些專用的安全軟件，同樣可以讓其顯出原形。例如，使用無(wú)毒空間這款安全工具，就可以對(duì)系統(tǒng)執(zhí)行深入分析，來(lái)捕獲可疑程序。當(dāng)其安裝運(yùn)行后，會(huì)對(duì)全盤(pán)進(jìn)行掃描，來(lái)發(fā)現(xiàn)隱藏的可疑文件。在其主界面中顯示搜索到的可疑文件，在對(duì)應(yīng)可疑文件的右鍵菜單上點(diǎn)擊“禁止”項(xiàng)，可以禁止其運(yùn)行，點(diǎn)擊“刪除”項(xiàng)，可以將其刪除。

對(duì)于已經(jīng)運(yùn)行的而且無(wú)法直接禁止的可疑程序來(lái)說(shuō)，可以對(duì)其攔截屏蔽后重啟系統(tǒng)，讓其徹底失去活力，無(wú)法對(duì)系統(tǒng)構(gòu)成威脅。

在系統(tǒng)托盤(pán)中的無(wú)毒空間的右鍵菜單上選擇“實(shí)時(shí)攔截”項(xiàng)，可以對(duì)病毒木馬的活動(dòng)進(jìn)行監(jiān)控和攔截。在其主界面中點(diǎn)擊“定位”按鈕，可以找到目標(biāo)程序，點(diǎn)擊“監(jiān)視”按鈕，所有的不法程序只要有所行動(dòng)，就會(huì)被無(wú)毒空間捕獲。點(diǎn)擊“分析”按鈕，可以對(duì)所有的啟動(dòng)項(xiàng)目進(jìn)行檢測(cè)分析，并自動(dòng)鎖定加載的可疑度較大的啟動(dòng)文件。例如，對(duì)于文件名異常、運(yùn)行路徑復(fù)雜、體積較大、廠商版本信息不全的程序尤其需要防范和清除。

清除黑客暗藏的隱形賬戶

當(dāng)黑客入侵得手后，為了實(shí)現(xiàn)長(zhǎng)期控制肉雞的目的，會(huì)利用已經(jīng)開(kāi)啟（或者非法開(kāi)啟）的終端服務(wù)，對(duì)肉雞進(jìn)行遠(yuǎn)程控制，為了實(shí)現(xiàn)登錄操作，黑客可能會(huì)在其中創(chuàng)建隱形賬戶，來(lái)逃避用戶的檢測(cè)，使用LP_Check可以讓克隆賬戶徹底現(xiàn)出原形。在LP_Check主窗口中列出所有存在的賬戶，如果在列表中對(duì)應(yīng)賬戶的“Result”列中顯示為“Shadow Administrator”項(xiàng)，就表示該賬戶被克隆了。同時(shí)在窗口底部的“Result”欄中顯示存在的克隆賬戶的數(shù)量，僅僅發(fā)現(xiàn)克隆賬戶還不夠，關(guān)鍵是將其清除。

實(shí)際上，所有賬戶的配置信息全部保存在注冊(cè)表中，但是只能擁有System賬戶身份才能顯示和清除克隆帳號(hào)。

借助于“PsExec”這款小工具，您就可以輕松擁有SYSTEM帳戶權(quán)限。將“Psexec.exe”復(fù)制到系統(tǒng)文件夾中，之后在CMD窗口中執(zhí)行命令“psexec-id-s %windir% egedit.exe”，回車(chē)后自動(dòng)打開(kāi)注冊(cè)表編輯器，此時(shí)是以SYSTEM賬戶的身份運(yùn)行注冊(cè)表編輯器的，在其中展 開(kāi)“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”分支，在其下可以看到所有的賬戶信息，克隆賬戶赫然在列，在克隆賬戶名稱的右鍵菜單上點(diǎn)擊“刪除”按鈕，即可將其從系統(tǒng)中徹底刪除。

判讀安全日志 發(fā)現(xiàn)黑客蹤跡

其實(shí)，對(duì)安全日志進(jìn)行檢測(cè)，也可以及時(shí)發(fā)現(xiàn)黑客的蹤跡。運(yùn)行“gpedit.msc”程序，在組策略窗口左側(cè)點(diǎn)擊 “計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”項(xiàng)，在右側(cè)窗口中針對(duì)“審核策略更改”、“審核登錄事件”、“審核賬戶登錄事件”、“審核賬戶管理”等項(xiàng)分別開(kāi)啟“成功”和“失敗”審核項(xiàng)目。這樣，當(dāng)黑客執(zhí)行掃描操作、遠(yuǎn)程登錄、添加賬戶等操作時(shí)，就會(huì)被系統(tǒng)日志記錄下來(lái)。

通過(guò)運(yùn)行“eventvwr.msc”程序，在事件查看器窗口左側(cè)選擇“安全性”項(xiàng)，在右側(cè)窗口中可以看到所有的安全審核事件，其中就包括針對(duì)病毒文件的審核事件。雙擊對(duì)應(yīng)的事件項(xiàng)目，可以查看其詳細(xì)信息。如果發(fā)現(xiàn)黑客入侵的痕跡，就需要使用各種安全工具，對(duì)系統(tǒng)進(jìn)行全面檢測(cè)，將木馬等潛伏分子一網(wǎng)打盡。

當(dāng)然，黑客也可能采取刪除日志的方法，例如，將“C:WindowsSystem32Config”文件夾中的三個(gè)“.EVT”文件刪除，這樣就清空了日志信息。不過(guò)當(dāng)其在刪除日志文件的同時(shí)，系統(tǒng)也會(huì)自動(dòng)常見(jiàn)一條日志信息，用來(lái)記錄入侵者刪除日志的行為。因此，如果發(fā)現(xiàn)日志信息莫名其妙地消失，或者只剩下一條記錄（或是干脆連最后一條日志也消失），就可以斷定本機(jī)已經(jīng)變成了黑客的肉雞了。

讓主機(jī)遠(yuǎn)離“肉雞”之列

為了避免讓自己的電腦變成肉雞，最重要的是要加固安全防范措施，截?cái)嗪诳腿肭值耐ǖ馈?/p>

一般來(lái)說(shuō)，黑客要想獲得并控制肉雞，常用的手段是散播病毒或者木馬，感染遠(yuǎn)程主機(jī)后執(zhí)行入侵操作，或者對(duì)目標(biāo)機(jī)進(jìn)行掃描檢測(cè)，發(fā)現(xiàn)其存在的漏洞，進(jìn)入執(zhí)行入侵動(dòng)作，并在其上秘密開(kāi)啟端口建立非法連接。所以，對(duì)其最直接的防御方式是安裝強(qiáng)悍的殺毒軟件，并及時(shí)升級(jí)病毒庫(kù)，來(lái)發(fā)現(xiàn)和識(shí)別新的病毒木馬。

實(shí)際上，當(dāng)病毒木馬入侵后也會(huì)對(duì)殺毒軟件進(jìn)行破壞，終止其運(yùn)行或者讓其無(wú)法正常工作，破壞其升級(jí)機(jī)制，讓其無(wú)法順利升級(jí)病毒庫(kù)。例如其會(huì)采用映像劫持技術(shù)、屏蔽殺毒軟件運(yùn)行等。如果發(fā)現(xiàn)殺毒軟件運(yùn)行異常，應(yīng)該對(duì)系統(tǒng)進(jìn)行深入檢查。

防止黑客和目標(biāo)主機(jī)之間建立連接，需要在系統(tǒng)中安裝防火墻軟件，在本機(jī)和外界之間建立安全屏障。尤其是對(duì)于沒(méi)有及時(shí)安裝系統(tǒng)補(bǔ)丁的用戶來(lái)說(shuō)，防火墻軟件是保護(hù)系統(tǒng)安全的可靠衛(wèi)士。雖然系統(tǒng)已經(jīng)內(nèi)置了防火墻，而且在Windows7/8等系統(tǒng)中，防火墻的功能已經(jīng)得到強(qiáng)化，不過(guò)同專業(yè)的防火墻軟件相比，其功能顯得比較單一，如果采用默認(rèn)配置，可能無(wú)法有效阻擋黑客的攻擊。所以，為了提高安全性，需要使用更加專業(yè)的防火墻軟件。在實(shí)際選擇防火墻軟件時(shí)，需要考慮功能較多的產(chǎn)品，例如不僅可以監(jiān)控針對(duì)外網(wǎng)或者內(nèi)網(wǎng)的訪問(wèn)動(dòng)作，還應(yīng)該擁有自動(dòng)關(guān)閉危險(xiǎn)端口、防止惡意掃描。有對(duì)各種危害系統(tǒng)安全的行為（例如修改系統(tǒng)配置信息、修改刪除系統(tǒng)文件、修改注冊(cè)表等）進(jìn)行監(jiān)控的功能，

除了防止外界攻擊外，防止來(lái)自內(nèi)網(wǎng)的攻擊也不可忽視，很多網(wǎng)絡(luò)很強(qiáng)調(diào)對(duì)外部攻擊的防御，而忽視了對(duì)內(nèi)網(wǎng)安全的重視。例如一旦別有用心的用戶發(fā)起ARP攻擊，就會(huì)嚴(yán)重威脅內(nèi)網(wǎng)安全。使用360安全衛(wèi)士提供的局域網(wǎng)保護(hù)功能，就可以有效提高主機(jī)在內(nèi)網(wǎng)中的安全性。在360流量防火墻界面中點(diǎn)擊“局域網(wǎng)防護(hù)”按鈕，之后點(diǎn)擊“立即開(kāi)啟”按鈕，就可以激活局域網(wǎng)防火墻，可以執(zhí)行抗擊斷網(wǎng)掉線攻擊，防止泄漏隱私信息，抗擊非法控制網(wǎng)絡(luò)訪問(wèn)行為等操作。

為了抵御ARP攻擊，可以安裝各種ARP防火墻軟件。對(duì)于危險(xiǎn)的端口（例如3389等），為了防止黑客惡意利用，在不需要的情況下，最好將其關(guān)閉。利用系統(tǒng)自帶的安全策略，就可以將指定的端口徹底封鎖起來(lái)。執(zhí)行“gpedit.msc”命令，在組策略編輯器中依次展開(kāi)“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“IP安全策略”分支，在右側(cè)窗口中的右鍵菜單中點(diǎn)擊“創(chuàng)建IP安全策略”項(xiàng)，之后按照提示，就可以創(chuàng)建并指派對(duì)應(yīng)的策略，具體操作比較簡(jiǎn)單這里不再贅述。

黑客之所以入侵得手，很大程度上是利用了系統(tǒng)存在的各種漏洞的緣故。因此，及時(shí)修復(fù)漏洞就顯得很重要了。

漏洞基本上分為系統(tǒng)漏洞和應(yīng)用程序漏洞兩種，相對(duì)而言，應(yīng)用軟件漏洞的利用會(huì)受到較多的環(huán)境制約，風(fēng)險(xiǎn)一般較低，而Windows系統(tǒng)漏洞危險(xiǎn)度較高，很容易被黑客作為入侵的突破口。

利用一些安全工具，可以高效完整地修改各種系統(tǒng)漏洞。例如在360安全衛(wèi)士主界面中點(diǎn)擊“查殺修復(fù)”按鈕，在彈出界面中點(diǎn)擊“漏洞修復(fù)”按鈕，在漏洞管理界面中勾選全部漏洞，包括高危漏洞、軟件安全更新、可選的高危漏洞補(bǔ)丁，其它及功能性更新補(bǔ)丁的，點(diǎn)擊“立即修復(fù)”按鈕，就可以將所有的漏洞全部補(bǔ)上。相比系統(tǒng)自帶的更新功能，其速度和易用性都好得多。

在安裝系統(tǒng)時(shí)，如果您使用的是第三方的定制版安裝包，雖然利用其提供的自動(dòng)安裝技術(shù)，可以加速安裝進(jìn)程。不可忽視的是，其默認(rèn)的管理員密碼一般為空，為了安全起見(jiàn)，最好運(yùn)行“l(fā)usrmgr.msc”程序，為管理員設(shè)置復(fù)雜的密碼。

為了防止優(yōu)盤(pán)等移動(dòng)設(shè)備中潛伏在病毒木馬侵入系統(tǒng)，除了使用殺毒軟件進(jìn)行防御外，最好關(guān)閉系統(tǒng)的自動(dòng)播放功能。執(zhí)行“gpedit.msc”程序，在組策略編輯器中選擇“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“自動(dòng)播放策略”，在右側(cè)窗口中雙擊“關(guān)閉自動(dòng)播放”項(xiàng)，將其設(shè)置為“已啟用”，并將下方的關(guān)閉對(duì)象設(shè)置為“所有驅(qū)動(dòng)器”，重啟系統(tǒng)后就可以關(guān)閉自動(dòng)播放功能。為了防止網(wǎng)頁(yè)木馬乘虛入侵，最好使用安全性較高的瀏覽器（例如360安全瀏覽器、獵豹瀏覽器等）來(lái)降低安全風(fēng)險(xiǎn)，或者在虛擬環(huán)境中上網(wǎng)沖浪。例如使用360安全衛(wèi)士提供的隔離沙箱功能，將瀏覽器放置在虛擬環(huán)境中運(yùn)行，讓網(wǎng)頁(yè)木馬無(wú)法破壞真實(shí)的系統(tǒng)。

現(xiàn)在很多用戶都是通過(guò)無(wú)線路由器上網(wǎng)的，但是家用的無(wú)線路由器往往因?yàn)殄e(cuò)誤設(shè)置、固件存在問(wèn)題等原因會(huì)出現(xiàn)潛在的安全漏洞，一旦被黑客盯上，就會(huì)使其通過(guò)路由器實(shí)現(xiàn)入侵操作。這種情況下，無(wú)線路由器也成了肉雞，黑客可以借助其為跳板，對(duì)內(nèi)網(wǎng)主機(jī)進(jìn)行滲透攻擊。

一些無(wú)線路由器提供了遠(yuǎn)程Web管理功能，如果將其錯(cuò)誤開(kāi)啟，就會(huì)招致黑客的攻擊。

此外，在某些品牌的無(wú)線路由器上還存在著Telnet登錄功能，而且該功能處于隱藏狀態(tài)，一般用戶對(duì)此并不知情。因?yàn)門(mén)elnet開(kāi)啟的是23端口，黑客使用掃描器對(duì)指定范圍內(nèi)的IP進(jìn)行掃描，檢測(cè)其23號(hào)端口開(kāi)啟狀態(tài)，可以很輕松地找到這類(lèi)路由器甚至是網(wǎng)關(guān)或者服務(wù)器。在一般情況下，無(wú)線路由器的賬戶名和密碼都是固定不變的，例如Root、Admin等。用戶往往懶得修改密碼，這就為黑客入侵提供了便利，黑客使用Telnet命令連接到目標(biāo)路由器后，很容易通過(guò)安全認(rèn)證操作，這樣內(nèi)網(wǎng)主機(jī)就暴露在黑客面前了。所以，可以利用SuperScan等掃描器對(duì)自己的外網(wǎng)地址進(jìn)行掃描，檢測(cè)是否開(kāi)啟了23端口，如果開(kāi)啟的話必須修改路由器登錄密碼。