【51CTO.com綜合消息】2009年4月22日，天融信安全工程師小張像往常一樣，坐在電腦前分析著每小時的安全日志。突然，某單位圖片查詢服務(wù)器(192.168.1.5)大量的異常請求鏈接引起了小張的關(guān)注，多年積累的經(jīng)驗告訴他，該服務(wù)器存在安全問題。

　　作為天融信安全服務(wù)工作中的一部分，小張和同事們首先過濾出用戶安全日志和圖片服務(wù)器的全部日志，并在此基礎(chǔ)上做進一步過濾，以便將和異常事件相關(guān)的線索逐一篩選出來。隨后，安全工程師們立即對安全事件進行比對分析，結(jié)合安全監(jiān)控平臺觸發(fā)的關(guān)聯(lián)事件，基本上斷定了用戶局域網(wǎng)內(nèi)圖片查詢服務(wù)器存在病毒。

　　與用戶溝通后得知，內(nèi)網(wǎng)用戶在訪問圖片查詢服務(wù)器時，客戶端殺毒軟件不斷彈出警告，提示存在惡意軟件或病毒，嚴重影響正常應(yīng)用。客戶的反饋印證了天融信安全工程師的判斷，為用戶服務(wù)器清除病毒刻不容緩。

　　說話間，小張和同事已經(jīng)帶著筆記本來到客戶公司。根據(jù)對圖片查詢服務(wù)器、客戶端以及殺毒軟件日志相關(guān)信息的收集，天融信安全工程師簡單復原了病毒感染和爆發(fā)的過程，并給出事故說明。

　　1、病毒感染的兩種可能：第一種可能，2009年4月22日左右，單位內(nèi)某工作人員在可以連接公網(wǎng)的機器上瀏覽網(wǎng)頁時，被病毒或者木馬所感染，之后工作人員在內(nèi)網(wǎng)機器和可以連接公網(wǎng)的機器間進行拷貝數(shù)據(jù)時，病毒進入局域網(wǎng)，由于局域網(wǎng)內(nèi)多臺機器存在管理員空口令、網(wǎng)絡(luò)共享等漏洞，病毒便開始蔓延；第二種可能，2009年4月22日左右，單位內(nèi)某工作人員在家中上網(wǎng)瀏覽網(wǎng)頁時，被病毒或者木馬類感染，之后工作人員在內(nèi)網(wǎng)機器和家中機器間進行拷貝數(shù)據(jù)時，病毒進入局域網(wǎng)，由于局域網(wǎng)內(nèi)多臺機器存在管理員空口令、網(wǎng)絡(luò)共享等漏洞，病毒便開始蔓延；

　　2、W32/Fujacks.aw通過攻擊存在網(wǎng)絡(luò)共享并具有弱口令的機器，在局域網(wǎng)內(nèi)進行繁殖和傳播，之后從互聯(lián)網(wǎng)下載惡意軟件，修改系統(tǒng)注冊表以達到破壞眾多殺毒軟件的查殺，同時搜索主機內(nèi)所有asp和htm后綴的文件，在其中插入隱藏的Iframe掛馬頁面框架，當用戶瀏覽該頁面時，便會在不知道的情況下自動下載木馬等惡意軟件。

　　事件來龍去脈基本掌握，小張與客戶進行了簡單溝通后，即可將斷網(wǎng)進入應(yīng)急流程。在這要強調(diào)一下，安全服務(wù)人員斷網(wǎng)之前一定要和客戶進行溝通，在征得用戶的同意后方可斷網(wǎng)。

　　1、首先把圖片查詢服務(wù)器與內(nèi)網(wǎng)PC終端進行網(wǎng)絡(luò)隔離，斷網(wǎng)；

　　2、對圖片服務(wù)器進行數(shù)據(jù)備份，防止在病毒清理過程中不當操作造成數(shù)據(jù)的丟失；

　　3、手工對圖片服務(wù)器進行檢查，終止惡意進程、手工清除病毒文件、修復注冊表的等；

　　4、將圖片查詢系統(tǒng)全部備份至安全無毒的存儲介質(zhì)，然后在安全無毒的機器上對系統(tǒng)所有頁面進行惡意代碼清理，最后進行檢查；

　　5、在原有的圖片查詢系統(tǒng)目錄內(nèi)新建一個目錄，將清理完畢的圖片查詢系統(tǒng)放入其中，然后新建一個虛擬的web站點對其進行測試，一切正常，連上測試機對其訪問，殺毒軟件不再彈出惡意軟件提示窗口；

　　6、重新啟動IIS，用戶訪問恢復正常。

　　至此，病毒清除工作順利完成。作為天融信安全服務(wù)的一部分，在對事件進行總結(jié)之后，小張向客戶提出了安全建議和網(wǎng)絡(luò)規(guī)劃建議，并贏得了用戶的肯定。

　　安全建議：

　　1、對服務(wù)器關(guān)鍵數(shù)據(jù)進行定時、定期的數(shù)據(jù)備份，盡量減少發(fā)生安全事件時的損失；

　　2、對單位內(nèi)進行網(wǎng)絡(luò)安全基礎(chǔ)知識培訓，提高安全防范意識，避免工作中的不安全的操作，減少安全事件發(fā)生的概率；

　　3、對局域網(wǎng)內(nèi)所有服務(wù)器包括PC終端部署安裝防毒軟件、防火墻等，并及時升級病毒庫、防火墻策略、更新系統(tǒng)補丁；

　　4、對單位內(nèi)服務(wù)器和所有終端進行全面的安全評估和加固，增強系統(tǒng)的安全性；

　　5、在服務(wù)器和客戶端之間進行文件拷貝時利用專門的存儲設(shè)備，防止交叉重復感染。

　　網(wǎng)絡(luò)規(guī)劃建議：

　　1、 對管內(nèi)系統(tǒng)部署桌面終端軟件，實現(xiàn)內(nèi)網(wǎng)可控管理；

　　2、 劃分DMZ區(qū)，對重要服務(wù)器群進行隔離和訪問控制，以達到保護重要資產(chǎn)和信息的目的。