前兩天,一大早剛到公司就接到老大的電話,說得趕到一客戶那邊看看,客戶那邊中毒很嚴重,已經有一天沒有辦法正常辦公了,我馬上帶好工具光盤, 我們的殺毒試用光盤和U盤趕到客戶處。
去到客戶那邊找到相關負責人,大致瞭解了一下相關情況,得知該公司網絡基本已經癱瘓,幾乎每臺電腦都有病毒,ARP***無處不在,中毒嚴重的服務器連打開網卡查看IP都變成了“不可用”,上不了網,所有的應用都用不了,具體是什麼病毒還不好下定論。登陸上他們的服務器一看,裏面什麼樣的病毒都有,一個個清理也太不現實了,給他們安裝網絡版殺毒軟件(以前是用單機版瑞星),不過病毒已經做好防護,殺毒軟件都安裝不成功,只好先建議客戶把服務器系統重做,客戶端先給他們安裝防病毒客戶端了。
過了一兩個小時後,服務器系統終於做好了,接下來就是安裝殺毒軟件與給系統打補丁,一切按平常的做法,等這一切做好並把防病毒軟件升級到最新版,給下面客戶機都殺掉病毒並安裝ARP防火牆後,覺得都沒有什麼大問題就回公司了。
哪知第二天,客戶又打電話過來說,服務器又中毒了,跟以前的狀況一模一樣,我又得趕過去了,查看服務器情況,不知從哪多出了幾個匿名帳戶,還有很多病毒,一大堆***軟件,奇怪了,這服器還能正常用,只是流量比平常高出很多,他們的應用早就停掉了,估計是給******了。這下就麻煩了,小公司中***的機會真的是很小,沒有辦法,只好做安全防護防黑了,打電話回公司給客戶申請一臺UTM試用一下,但是效果不明顯,我沒有改變他們的網絡結構做透明模式,一直殺完病毒過不了多久就來了,而且跟以前一樣。我沒有辦法,讓他們用一臺新服務器重新安裝他們的OA讓他們先用,哪知剛改回以前服務器IP,過沒有多久又被***了,這下就覺得不可思議了,這可是臺新機器的。
這下覺得事情比我們想像的嚴重得多了,跟同事和客戶技術人員商量,準備按步驟一步一步找出問題的所在,看是哪個環節出了問題,是內部機器***中下了後門還是他們OA軟件的漏洞,還是花生殼的問題。接下來又是痛苦的服務器重裝了,這個工作交給他們的技術員來做,我看看UTM的日誌,突然之間又上不了網了,他們下面的員工反應,經過幾天的殺毒,上網倒是可以了,只是OA還沒有辦法正常工作。沒有辦法只好重啓他們的TP-LINK路由,順便進去看了一看,突然在DMZ的地方看到了映射服務器的IP,而他們在地址映射的時候已經開放了相應的端口,這個有點重複了,心裏在想會不會是這裏的問題,跟客戶技術人員講了一下,把這個給關掉了,再用netstat -an查看一下,果然裏面沒有相關外部IP訪問端口了,接下來就是一步一步做測試,看他們的OA能不能正常訪問了,想不到一切都可以了。
看來是忽略這些小問題了,困擾了幾天的問題就這樣解決了。