| 身為中小企業的網絡管理員主要工作就是負責企業內部網絡及各個服務器的安全,因此必然離不開各式各樣的網絡及單機病毒。當然對于單機病毒來說一個強有力的殺毒軟件加上最終的重裝系統是百分之百可以解決的。
然而一旦病毒和內網聯系起來的話,網絡管理員將面臨棘手的查殺難題。最近筆者所在單位就爆發了一次局部的網絡病毒,排查與解決問題的過程是曲折和復雜的,在這里筆者不愿獨享寫出來和各位IT168的網管讀者探討與研究。
一,網絡環境簡介:
筆者負責區級教育網絡的維護工作,全部教育城域網均使用由我們提供的服務,包括辦公網郵件系統服務以及信息網站互動平臺等。所有服務器都在10.82.0.*/255.255.254.0這個網段,結合入侵檢測系統和防毒進行進行防護,而其他各個教育機構都通過電信的光纖連接到核心層的網絡設備上,每個教育機構獨立一個諸如10.82.*.*的內部網段。
二,故障起因——服務器部分服務失效:
最近有一個部門的員工打電話告訴我們說這幾天一直無法正常訪問辦公網郵件系統服務器10.82.0.3以及信息網站互動平臺10.82.0.1,而訪問其他諸如搜狐,新浪等外部網站都沒有問題。開始筆者以為是該員工的計算機自身存在問題,讓其恢復了系統后問題也得到了解決。然而隨著時間的推進筆者又接收到來自該分支機構的多個不同科室的電話,反映的情況都是一樣的即無法正常訪問辦公網郵件系統服務器10.82.0.3以及信息網站互動平臺10.82.0.1。與此同時筆者用自己的機器訪問這兩臺服務器上的應用服務時沒有任何問題,也沒有接到其他分支機構的故障電話,而且本人咨詢了具體情況后發現并不是該分支機構下的所有機器都無法訪問這兩個服務器上的應用,出現問題的只是其中的十幾臺,其他幾十臺沒有任何問題。
三,排查故障——篩選目標)
為了更好的了解和解決網絡問題,筆者親自到該分支機構去檢測。檢測發現當訪問10.82.0.3郵件辦公系統時可以出現正常的訪問登錄界面,不過在輸入用戶名和密碼時要嘛“登錄”按鈕不能用,要嘛干脆登錄進入后直接出現一行名為“office.nsf/pgnavigator?openpage>http/1.1 200 ok content-length:4742 content-type:text/html”報錯的提示,而且和往常登錄界面不同的是在辦公主頁下方出現了一行“input”的小字。之后筆者更換了瀏覽器為火狐以及騰訊的TT瀏覽器故障依舊,看來并不是本機IE瀏覽器插件的問題。而且筆者還得到了一個新的消息,那就是前幾天更更恢復完系統解決問題的那個員工計算機又出現了同樣的癥狀,無法順利訪問這兩臺服務器。
通過檢測的種種現象來看,首先服務器自身的問題可以排除,畢竟其他分支機構以及筆者都可以順利訪問,而且該機構下的某些機器也可以順利登錄信息平臺和郵件系統。另外當把系統恢復到以前或者重新安裝后問題也可以解決,這說明故障確實出現在本機。排除了服務器,網絡設備后筆者將關注的目標放到了本機上。
四,高級檢測——確定目標:
平時這個分支機構的計算機都是由筆者和幾個同伴一起負責維護,按照常理來說安全防范級別應該比較高,系統自動更新補丁都隨時安裝,殺毒軟件也使用的是卡巴斯基,那么為什么還會在本機出現故障呢?筆者再次檢測發現出問題的幾臺計算機的卡巴斯基并沒有升級到最新病毒庫,于是手工升級,并在安全模式下全面查殺本地硬盤各個分區,確保無毒后再次訪問辦公系統,結果令人遺憾的是故障依舊。不過每當訪問這兩個服務器應用服務時卡巴斯基都給出了發現危機的提示——malcious http object :access denied。這說明在訪問服務器時頁面要求自動跳轉到http://ck1.in/n.js這個地址,而該地址被卡巴斯基過濾禁止訪問了。筆者測試了所有出問題的機器都在訪問服務器時卡巴斯基給出警報提示。(如圖2)[NextPage]
由于之前已經確定了服務器自身沒有問題,所以排除了服務器上存在木馬或被篡改添加惡意腳本的可能,因此我們確定了目標,主要問題是病毒帶來的,該病毒被卡巴斯基命名為trojan program trojan-downloader.js.agent.lg,是一種木馬病毒。筆者在故障機上直接訪問http://ck1.in/n.js這個地址出現了該地址被殺毒軟件屏蔽的提示,看來該地址是萬惡之源
編輯:北京信誠IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn
|
當前位置:
