- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
<ul id="mayc0"></ul> <ul id="mayc0"></ul> 快速清除局域網內瘋狂傳播病毒、木馬的內奸 |
| 發布時間: 2012/7/4 13:48:24 |
|
病毒、木馬的瘋狂讓網絡用戶煩惱異常,由于本人兼職多個小單位、公司的網管,殺毒清木馬的工作當然不計其數,但最近幾次卻遇到了三例非常相似的疑難故障,通過不斷的實踐,終于將問題徹底解決,在此將我的一點點經驗總結如下,希望能起到拋磚引玉的作用: 一、網絡應用環境 一條光纖、或一條寬帶專線進路由器,路由器連接交換機或HUB,各辦公室(科室)的電腦接入交換機,電腦的臺數約為二、三十臺左右,其中有一臺或幾臺開啟了簡單共享(一般用作單位的共享文件服務器) 二、疑難故障特征 1.共享文件服務器運行緩慢,不穩定 2.殺毒軟件和安全軟件被禁用,有時機器上安裝的影子系統或RETURNIL等還原軟件被擊穿 3.斷網全盤殺毒后上線馬上被感染,殺毒軟件再次被禁用(也就是說殺毒軟件搞不定) 4.重分區、格式化硬盤后重裝系統上線照樣馬上被感染(也就是說重裝故障機無效) 5.被感染的重災區往往是提供共享服務的電腦(也就是影響整個單位的正常工作) 三、癥狀分析 1.因為殺毒軟件搞不定,所以只能手工探索 2.因為重裝系統無效,可斷定問題的根源不是共享服務器本身 3.因為感染的速度非常快(有時上線4、5分鐘就掛了)所以斷定不是因為外網的原因 4.綜上所述可斷定局域網內出了瘋狂傳播病毒、木馬的內奸 四、清理步驟 1.將共享服務器斷網后清理干凈,把冰刃ICESWORD的主程序改名并運行(不改名的話木馬有可能通過關鍵字關閉冰刃的進程) 2.將共享服務器上線,成功提供必要的服務后馬上在冰刃ICESWORD里禁止進程創建(由于禁止了進程的創建,一則不影響基本的共享服務,二則木馬無法破壞共享服務器,這樣就有充足的時間解決問題了,不會弄得手忙腳亂) 3.找出內奸。由于電腦臺數較多,一臺一臺的去慢慢甄別費時費力,我采用的方法如下: 隨便找一臺電腦,首先運行冰刃ICESWORD,接入局域網中,再故意開啟一個沒有內容的共享(比如一個空的文件夾),也就是做一個陷阱機。接著監視ICESWORD中的端口,看是誰連接這個陷阱共享,持續15分鐘左右,因為內奸是自動掃描端口的,一般一會兒就會上鉤了。將抓獲的IP地址記下來,用網管軟件強制斷開這些IP的連接,如果一切正常,由于內奸機不能上網了,機主會自動報告故障的。這時就成功、快速的抓出了內奸。 4.徹底清理內奸機,這個清理的過程都是常規的手段,不啰嗦了。 5.試運行一段時間,如果正常則可解除共享服務器上的冰刃ICESWORD限制。 五、心得體會 剛開始處理這樣的情況時把眼光局限于服務器本身,不知重裝了多少遍,浪費了大量的時間,結果問題依舊。處理這種故障的關鍵是運行好冰刃,作一個陷阱,快速的找出內奸,世界從引變得清靜了。 本文出自:億恩科技【www.vbseamall.com】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
