台病毒电脑惹的祸

     趁着下班的时候清静点,记录下今天所遇到的一个case。

今天中午接到user电话,说HR界面打不开了,一些相关报表也有异常。首先按照正常的方式连过来看看,主界面还是可以打开的,二级界面里就出现异常了,将浏览器的设置重新设定后还是不可以,再次电话询问时发现,user整个office的电脑近九成都有这个问题。

 

     得知大面积出现问题,而其他办公室里打开HR都是正常的,首先想到的是网络出故障了,在交换机柜现场看到所有的接入层交换机上的端口指示灯闪的飞快啊

     仔细观察后发现,有几个端口的指示灯闪的非同寻常,初步将这几个端口当做重点对象排查(出现大面积的网络故障,怕的就是某台电脑的病毒或是user错接了路由器等)

      确认到这些故障都是在同一个Vlan,排查起来也 就方便多了,观察法后,根据配线架上的端口标签,找到客户端的接入点,将这些重点嫌疑电脑的网线相继拨出,同时关注其他user是否可以正常打开HR界面,可这次跟上次的排查有点不同,嫌疑电脑的网线一拔,部分电脑的HR界面正常了,另外一部分的就更糟糕了,界面根本就打不开,真是有点百思不得其解,但至少确定到了问题电脑和相关联的交换机。

为了不影响原有的“稍微”正常的HR作业,不得已又将网线接上了“嫌疑电脑”,再从汇聚层的交换机上去查看交换机的cpu运行情况及log,在日志里发现居然网关地址重复,难不成有人绑定了网关地址?为了确认,在接入层的交换机上,将monitor前面的所有端口到最后一个端口,再用抓包工具对最后一端口进行抓包分析(据说有的抓包工具不用monitor端口,直接可以通过本机的网卡进行抓包分析),抓包分析的结果更确定是刚才那台嫌疑电脑惹的祸

迅速到该嫌疑电脑上,首先用ping命令ping 网关地址,ok后ping到其他网段的地址,还没来得及做其他的,对面的user说ping网关不通,然后在嫌疑电脑上查看arp表,原来是这病毒电脑弄了个伪网关,使得办公室的电脑一部分走正常的网关地址,一部分走这个伪网关,将网线立马拔出,测试其他电脑,居然还是不正常,巧的是,一user网络地址不太正常,需release和renew下,这一操作后,HR居然正常了,在其他电脑上试试,都可以了,哈哈,终于搞定……