晚上空的时候正好到自己的网吧去修电脑电脑结结帐,网吧不大50台电脑刚转过来不久,系统在转过来的时候亲手重装过一次,除了软路由还是ROS以前留下的没换,其他的都格式化完整安装过,服务器DSBV-SAS主板+5410CPU+4SAS硬盘+4G内存。用了个人感觉很稳定的2540的版本。
刚到网吧的时候,网管就反映客户机中毒了,很厉害很多网页都打不开。我就看了其中一台开着的电脑发现病毒真的有进程B.EXE文件,网页打开也非法错误,我就再想客户机是无盘哪来的病毒难不成谁开过超级用户了,马上到服务器上一看没人动过超级用户,磁盘备份没有记录,如果打开过保存肯定会有记录自动保存。然后自己就开了卡到客户机那上一下,一开始好好的,后来过了5分钟,慢慢的会多出很多进程,网页也会突然关闭。接着很多程序就会发生错误,一切中毒的症状都出现了。我在想难道是局域网传播。不过应该也不会啊,我administrator虽然是空密码,但SERVER服务是关闭的,也就是说远程是没有办法IPC$写入的。网吧无盘方案是自己亲手装的,系统也是自己一直在用的,都是GHOST来GHOST去,自己在用的系统,应该是再熟悉不过了。照理来说是不会被远程中毒的。后来又重启一边系统,再仔细观察中毒是何来。靠什么传播,再第二次观察的时候发现中毒前realplayer播放器突然在窗口右下角跳出一个广告了,我马上想到会不会是因为realplayer播放器漏洞造成的,正在下载360的时候第二次中毒又来了,无奈第三次重启系统,在第三次进入的时候马上先安装360安全卫士,然后扫描发现果真realplayer有2个软件漏洞需要修复,我马上选中修复等病毒来袭,结果真的什么事都没有了。客户机一直正常,同时我旁边客户机又开了一台,没有把realplayer软件漏洞补上,结果不出意料几分钟以后病毒又来了。。。总算放下心里,让所有客户机重启,先让局域网干净,同时我无盘超级用户打开,装了360打上刚才的realplayer软件漏洞补丁。马上保存。。。后来在网吧待了半个小时一直都太平天下了。。。
总结:1.在出现网吧问题的时候首先需要冷静,在这次中毒的时候,其他几个老板都在场抱怨系统怎么会这样,会不会是好久没装过要不要重装一边,我跟他们说无盘系统是不会存在中毒现象,中毒肯定是有原因,如果冒然把系统装一边,也始终不会知道问题出在哪,治标不治本。
2.出现问题要仔细观察分析,如果有人说中毒为什么不查服务器有没有毒,那就一定分析错了,因为无盘文件都是IMG格式的文件,相当于RAR包一样的原理,病毒又起会穿透IMG文件。如果说病毒删除IMG我觉得有可能,但想打开IMG放入病毒我看目前还没有这么先进。
3.有了问题需要好好总结,知己知彼方能百战百胜。
扫一扫
3752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
