- 挂牌上市企业
- 60秒人工响应
- 99.99%连通率
- 7*24h人工
- 故障100倍补偿
快速清除局域网内疯狂传播病毒、木马的内奸 |
| 发布时间: 2012/7/4 13:48:24 |
|
病毒、木马的疯狂让网络用户烦恼异常,由于本人兼职多个小单位、公司的网管,杀毒清木马的工作当然不计其数,但最近几次却遇到了三例非常相似的疑难故障,通过不断的实践,终于将问题彻底解决,在此将我的一点点经验总结如下,希望能起到抛砖引玉的作用: 一、网络应用环境 一条光纤、或一条宽带专线进路由器,路由器连接交换机或HUB,各办公室(科室)的电脑接入交换机,电脑的台数约为二、三十台左右,其中有一台或几台开启了简单共享(一般用作单位的共享文件服务器) 二、疑难故障特征 1.共享文件服务器运行缓慢,不稳定 2.杀毒软件和安全软件被禁用,有时机器上安装的影子系统或RETURNIL等还原软件被击穿 3.断网全盘杀毒后上线马上被感染,杀毒软件再次被禁用(也就是说杀毒软件搞不定) 4.重分区、格式化硬盘后重装系统上线照样马上被感染(也就是说重装故障机无效) 5.被感染的重灾区往往是提供共享服务的电脑(也就是影响整个单位的正常工作) 三、症状分析 1.因为杀毒软件搞不定,所以只能手工探索 2.因为重装系统无效,可断定问题的根源不是共享服务器本身 3.因为感染的速度非常快(有时上线4、5分钟就挂了)所以断定不是因为外网的原因 4.综上所述可断定局域网内出了疯狂传播病毒、木马的内奸 四、清理步骤 1.将共享服务器断网后清理干净,把冰刃ICESWORD的主程序改名并运行(不改名的话木马有可能通过关键字关闭冰刃的进程) 2.将共享服务器上线,成功提供必要的服务后马上在冰刃ICESWORD里禁止进程创建(由于禁止了进程的创建,一则不影响基本的共享服务,二则木马无法破坏共享服务器,这样就有充足的时间解决问题了,不会弄得手忙脚乱) 3.找出内奸。由于电脑台数较多,一台一台的去慢慢甄别费时费力,我采用的方法如下: 随便找一台电脑,首先运行冰刃ICESWORD,接入局域网中,再故意开启一个没有内容的共享(比如一个空的文件夹),也就是做一个陷阱机。接着监视ICESWORD中的端口,看是谁连接这个陷阱共享,持续15分钟左右,因为内奸是自动扫描端口的,一般一会儿就会上钩了。将抓获的IP地址记下来,用网管软件强制断开这些IP的连接,如果一切正常,由于内奸机不能上网了,机主会自动报告故障的。这时就成功、快速的抓出了内奸。 4.彻底清理内奸机,这个清理的过程都是常规的手段,不啰嗦了。 5.试运行一段时间,如果正常则可解除共享服务器上的冰刃ICESWORD限制。 五、心得体会 刚开始处理这样的情况时把眼光局限于服务器本身,不知重装了多少遍,浪费了大量的时间,结果问题依旧。处理这种故障的关键是运行好冰刃,作一个陷阱,快速的找出内奸,世界从引变得清静了。 本文出自:亿恩科技【www.enkj.com】 |
0371-60135900
京公网安备41019702002023号
香港服务器租用
美国服务器租用
电信骨干机房
联通骨干机房
