12/25/2006
昨天发现服务器中毒后,通过Mcafee等杀软发现并基本确定是VIKING(威金)及其变种所致。找到相关的病毒介绍,其传播方式通过IPC$等共享进行。3分钟内基本可以使所有内网机器中招。观察发现包括DC在内的所有运行着的机器基本都中了,只是有些表现的重些,关键的程序如OFFICES,DMS不能使用了;有些只是某些不太关键的文件感染。
一、 解决方案:
1. 搜集病毒相关的资料,防护与杀毒措施,下载各种杀毒软件及其最新的病毒定义。寻找合适的专杀工具。
2. 关闭所有不必要的默认共享,这通过域策略在开机脚本里实现。
Net share C$ /delete
Net share D$ /delete
Net share E$ /delete
……………………
3. 在关键的应用服务器APPSERVER1上在不断网的状况下,通过使用专杀,Mcafee8,Symantec 10依次查杀。确保扫描不到任何感染文件,为了保险起见将C盘之外的所有EXE文件删除。破坏掉的应用可以重新安装,如果留有后患则可能前功尽弃。几个杀软,Mcafee能检测到病毒,但某些文件不能清除,Symantec,KIS则可以删除掉感染文件。在DC上采用相同的策略,不过使用的是修改过的KIS6杀毒。
4. 由于是全网环境的感染,有个网络版的杀软显的特别重要,现在手头唯一能满足的只有Symantec 10企业版,以前也曾在机器上部署过,但因为各种原因导致当时的担当杀毒服务器角色的机器都从新安装过,其下的客户端也成了孤魂,无法更新病毒定义。再这个发作时竟然一点反映也没有,让我开始怀疑Norton的权威性。今天通过更新到其最新的病毒定义发现,其实它可以处置VIKING,真是不幸中的万幸!否则,近30台机器挨着手动去清除也是个不小的工作量!部署新的杀毒服务器在新装的MOCOR1上,重新设定拓扑结构。将APPSERVER1也做为一个辅助的服务器,不再另外添加服务器组。通过GROUP的形式设定各部门的策略。
5. 在笔记本电脑上部署KIS6,其先进的检测技术提供极佳的防病毒与SPAM等威胁的能力。通过病毒定义发布技术,减少需要在线更新升级的流量。
6. 在财务部门的计算机上安装Mcafee,其规则功能强大,设置得当可以起到相当好的效果。
二、 总结:
1. 通过一个多层次,多产品的架构来实现最大的安全性。
2. 公司计算机使用制度还有待完善,关闭所有不必要的INTERNET出口,加装应用层防火墙都是非常重要的措施!
3. 安全问题一般出在麻痹大意时,如此次的Symantec防毒系统维护不及时,默认共享以及共享权限设置不严格等问题。
4. 缺乏一个应急响应机制,在发现问题时如何从容应对,需要程序化,制度化,最优化!从基于技巧的粗放型管理向基于制度的标准化方向发展。