【51CTO.com綜合消息】2009年4月22日，天融信安全工程師小張像往常一樣，坐在電腦前分析著每小時的安全日志。突然，某單位圖片查詢服務器(192.168.1.5)大量的異常請求鏈接引起了小張的關注，多年積累的經驗告訴他，該服務器存在安全問題。

　　作為天融信安全服務工作中的一部分，小張和同事們首先過濾出用戶安全日志和圖片服務器的全部日志，并在此基礎上做進一步過濾，以便將和異常事件相關的線索逐一篩選出來。隨后，安全工程師們立即對安全事件進行比對分析，結合安全監控平臺觸發的關聯事件，基本上斷定了用戶局域網內圖片查詢服務器存在病毒。

　　與用戶溝通后得知，內網用戶在訪問圖片查詢服務器時，客戶端殺毒軟件不斷彈出警告，提示存在惡意軟件或病毒，嚴重影響正常應用。客戶的反饋印證了天融信安全工程師的判斷，為用戶服務器清除病毒刻不容緩。

　　說話間，小張和同事已經帶著筆記本來到客戶公司。根據對圖片查詢服務器、客戶端以及殺毒軟件日志相關信息的收集，天融信安全工程師簡單復原了病毒感染和爆發的過程，并給出事故說明。

　　1、病毒感染的兩種可能：第一種可能，2009年4月22日左右，單位內某工作人員在可以連接公網的機器上瀏覽網頁時，被病毒或者木馬所感染，之后工作人員在內網機器和可以連接公網的機器間進行拷貝數據時，病毒進入局域網，由于局域網內多臺機器存在管理員空口令、網絡共享等漏洞，病毒便開始蔓延；第二種可能，2009年4月22日左右，單位內某工作人員在家中上網瀏覽網頁時，被病毒或者木馬類感染，之后工作人員在內網機器和家中機器間進行拷貝數據時，病毒進入局域網，由于局域網內多臺機器存在管理員空口令、網絡共享等漏洞，病毒便開始蔓延；

　　2、W32/Fujacks.aw通過攻擊存在網絡共享并具有弱口令的機器，在局域網內進行繁殖和傳播，之后從互聯網下載惡意軟件，修改系統注冊表以達到破壞眾多殺毒軟件的查殺，同時搜索主機內所有asp和htm后綴的文件，在其中插入隱藏的Iframe掛馬頁面框架，當用戶瀏覽該頁面時，便會在不知道的情況下自動下載木馬等惡意軟件。

　　事件來龍去脈基本掌握，小張與客戶進行了簡單溝通后，即可將斷網進入應急流程。在這要強調一下，安全服務人員斷網之前一定要和客戶進行溝通，在征得用戶的同意后方可斷網。

　　1、首先把圖片查詢服務器與內網PC終端進行網絡隔離，斷網；

　　2、對圖片服務器進行數據備份，防止在病毒清理過程中不當操作造成數據的丟失；

　　3、手工對圖片服務器進行檢查，終止惡意進程、手工清除病毒文件、修復注冊表的等；

　　4、將圖片查詢系統全部備份至安全無毒的存儲介質，然后在安全無毒的機器上對系統所有頁面進行惡意代碼清理，最后進行檢查；

　　5、在原有的圖片查詢系統目錄內新建一個目錄，將清理完畢的圖片查詢系統放入其中，然后新建一個虛擬的web站點對其進行測試，一切正常，連上測試機對其訪問，殺毒軟件不再彈出惡意軟件提示窗口；

　　6、重新啟動IIS，用戶訪問恢復正常。

　　至此，病毒清除工作順利完成。作為天融信安全服務的一部分，在對事件進行總結之后，小張向客戶提出了安全建議和網絡規劃建議，并贏得了用戶的肯定。

　　安全建議：

　　1、對服務器關鍵數據進行定時、定期的數據備份，盡量減少發生安全事件時的損失；

　　2、對單位內進行網絡安全基礎知識培訓，提高安全防范意識，避免工作中的不安全的操作，減少安全事件發生的概率；

　　3、對局域網內所有服務器包括PC終端部署安裝防毒軟件、防火墻等，并及時升級病毒庫、防火墻策略、更新系統補丁；

　　4、對單位內服務器和所有終端進行全面的安全評估和加固，增強系統的安全性；

　　5、在服務器和客戶端之間進行文件拷貝時利用專門的存儲設備，防止交叉重復感染。

　　網絡規劃建議：

　　1、 對管內系統部署桌面終端軟件，實現內網可控管理；

　　2、 劃分DMZ區，對重要服務器群進行隔離和訪問控制，以達到保護重要資產和信息的目的。