身為中小企業(yè)的網(wǎng)絡(luò)管理員主要工作就是負(fù)責(zé)企業(yè)內(nèi)部網(wǎng)絡(luò)及各個(gè)服務(wù)器的安全，因此必然離不開各式各樣的網(wǎng)絡(luò)及單機(jī)病毒。當(dāng)然對(duì)于單機(jī)病毒來說一個(gè)強(qiáng)有力的殺毒軟件加上最終的重裝系統(tǒng)是百分之百可以解決的。

然而一旦病毒和內(nèi)網(wǎng)聯(lián)系起來的話，網(wǎng)絡(luò)管理員將面臨棘手的查殺難題。最近筆者所在單位就爆發(fā)了一次局部的網(wǎng)絡(luò)病毒，排查與解決問題的過程是曲折而復(fù)雜的。

一、網(wǎng)絡(luò)環(huán)境簡介：

筆者負(fù)責(zé)區(qū)級(jí)教育網(wǎng)絡(luò)的維護(hù)工作，全部教育城域網(wǎng)均使用由我們提供的服務(wù)，包括辦公網(wǎng)郵件系統(tǒng)服務(wù)以及信息網(wǎng)站互動(dòng)平臺(tái)等。所有服務(wù)器都在10.82.0.*/255.255.254.0這個(gè)網(wǎng)段，結(jié)合入侵檢測系統(tǒng)和防毒進(jìn)行進(jìn)行防護(hù)，而其他各個(gè)教育機(jī)構(gòu)都通過電信的光纖連接到核心層的網(wǎng)絡(luò)設(shè)備上，每個(gè)教育機(jī)構(gòu)獨(dú)立一個(gè)諸如10.82.*.*的內(nèi)部網(wǎng)段。

二、故障起因——服務(wù)器部分服務(wù)失效：

最近有一個(gè)部門的員工打電話告訴我們說這幾天一直無法正常訪問辦公網(wǎng)郵件系統(tǒng)服務(wù)器10.82.0.3以及信息網(wǎng)站互動(dòng)平臺(tái)10.82.0.1，而訪問其他諸如搜狐，新浪等外部網(wǎng)站都沒有問題。開始筆者以為是該員工的計(jì)算機(jī)自身存在問題，讓其恢復(fù)了系統(tǒng)后問題也得到了解決。然而隨著時(shí)間的推進(jìn)筆者又接收到來自該分支機(jī)構(gòu)的多個(gè)不同科室的電話，反映的情況都是一樣的即無法正常訪問辦公網(wǎng)郵件系統(tǒng)服務(wù)器10.82.0.3以及信息網(wǎng)站互動(dòng)平臺(tái)10.82.0.1。與此同時(shí)筆者用自己的機(jī)器訪問這兩臺(tái)服務(wù)器上的應(yīng)用服務(wù)時(shí)沒有任何問題，也沒有接到其他分支機(jī)構(gòu)的故障電話，而且本人咨詢了具體情況后發(fā)現(xiàn)并不是該分支機(jī)構(gòu)下的所有機(jī)器都無法訪問這兩個(gè)服務(wù)器上的應(yīng)用，出現(xiàn)問題的只是其中的十幾臺(tái)，其他幾十臺(tái)沒有任何問題。

三、排查故障——篩選目標(biāo)：(如圖1)

圖1

為了更好的了解和解決網(wǎng)絡(luò)問題，筆者親自到該分支機(jī)構(gòu)去檢測。檢測發(fā)現(xiàn)當(dāng)訪問10.82.0.3郵件辦公系統(tǒng)時(shí)可以出現(xiàn)正常的訪問登錄界面，不過在輸入用戶名和密碼時(shí)要嘛“登錄”按鈕不能用，要嘛干脆登錄進(jìn)入后直接出現(xiàn)一行名為“office.nsf/pgnavigator?openpage>http/1.1 200 ok content-length:4742 content-type:text/html”報(bào)錯(cuò)的提示，而且和往常登錄界面不同的是在辦公主頁下方出現(xiàn)了一行“input”的小字。之后筆者更換了瀏覽器為火狐以及騰訊的TT瀏覽器故障依舊，看來并不是本機(jī)IE瀏覽器插件的問題。而且筆者還得到了一個(gè)新的消息，那就是前幾天更更恢復(fù)完系統(tǒng)解決問題的那個(gè)員工計(jì)算機(jī)又出現(xiàn)了同樣的癥狀，無法順利訪問這兩臺(tái)服務(wù)器。

通過檢測的種種現(xiàn)象來看，首先服務(wù)器自身的問題可以排除，畢竟其他分支機(jī)構(gòu)以及筆者都可以順利訪問，而且該機(jī)構(gòu)下的某些機(jī)器也可以順利登錄信息平臺(tái)和郵件系統(tǒng)。另外當(dāng)把系統(tǒng)恢復(fù)到以前或者重新安裝后問題也可以解決，這說明故障確實(shí)出現(xiàn)在本機(jī)。排除了服務(wù)器，網(wǎng)絡(luò)設(shè)備后筆者將關(guān)注的目標(biāo)放到了本機(jī)上。 #p#

四、高級(jí)檢測——確定目標(biāo)：

平時(shí)這個(gè)分支機(jī)構(gòu)的計(jì)算機(jī)都是由筆者和幾個(gè)同伴一起負(fù)責(zé)維護(hù)，按照常理來說安全防范級(jí)別應(yīng)該比較高，系統(tǒng)自動(dòng)更新補(bǔ)丁都隨時(shí)安裝，殺毒軟件也使用的是卡巴斯基，那么為什么還會(huì)在本機(jī)出現(xiàn)故障呢?筆者再次檢測發(fā)現(xiàn)出問題的幾臺(tái)計(jì)算機(jī)的卡巴斯基并沒有升級(jí)到最新病毒庫，于是手工升級(jí)，并在安全模式下全面查殺本地硬盤各個(gè)分區(qū)，確保無毒后再次訪問辦公系統(tǒng)，結(jié)果令人遺憾的是故障依舊。不過每當(dāng)訪問這兩個(gè)服務(wù)器應(yīng)用服務(wù)時(shí)卡巴斯基都給出了發(fā)現(xiàn)危機(jī)的提示——malcious http object :access denied。這說明在訪問服務(wù)器時(shí)頁面要求自動(dòng)跳轉(zhuǎn)到http://ck1.in/n.js這個(gè)地址，而該地址被卡巴斯基過濾禁止訪問了。筆者測試了所有出問題的機(jī)器都在訪問服務(wù)器時(shí)卡巴斯基給出警報(bào)提示。(如圖2)

圖2

由于之前已經(jīng)確定了服務(wù)器自身沒有問題，所以排除了服務(wù)器上存在木馬或被篡改添加惡意腳本的可能，因此我們確定了目標(biāo)，主要問題是病毒帶來的，該病毒被卡巴斯基命名為trojan program trojan-downloader.js.agent.lg，是一種木馬病毒。筆者在故障機(jī)上直接訪問http://ck1.in/n.js這個(gè)地址出現(xiàn)了該地址被殺毒軟件屏蔽的提示，看來該地址是萬惡之源。(如圖3)

圖3 #p#

五、解決問題——Sniffer出山找源頭

雖然確定了本次網(wǎng)絡(luò)故障是由病毒引起，但是筆者一直有一個(gè)疑惑，那就是各個(gè)機(jī)器的安全級(jí)別都很高，平時(shí)都是由我們專業(yè)人員負(fù)責(zé)維護(hù)，自動(dòng)打各種漏洞補(bǔ)丁的，那么為什么還會(huì)有這么多的計(jì)算機(jī)感染了該木馬病毒呢?另外我們也針對(duì)這些故障機(jī)器進(jìn)行了查殺病毒操作，卡巴斯基并沒有找到對(duì)應(yīng)的染毒文件。種種跡象都表明病毒未必都在這些故障機(jī)器的系統(tǒng)中。

這時(shí)有一個(gè)念頭出現(xiàn)在筆者的腦海中，記得以前曾經(jīng)應(yīng)對(duì)和解決過ARP欺騙病毒，只要網(wǎng)絡(luò)中有一臺(tái)機(jī)器感染了ARP病毒，那么幾乎這個(gè)網(wǎng)段的所有機(jī)器都無法上網(wǎng)或者訪問網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)。那么這次的木馬trojan program trojan-downloader.js.agent.lg病毒的感染與攻擊機(jī)理是否相同呢?為了證實(shí)此想法筆者拿出了看家工具——sniffer來掃描整個(gè)網(wǎng)段，看看是否有機(jī)器在發(fā)送或接收可疑數(shù)據(jù)包。

(1)掃描網(wǎng)絡(luò)：

安裝Sniffer針對(duì)出問題的網(wǎng)段進(jìn)行掃描，筆者發(fā)現(xiàn)MAC地址為000BDBC2F6C5的機(jī)器頻繁發(fā)送廣播數(shù)據(jù)包，數(shù)量比較大。(如圖4)

圖4

將MAC地址切換到IP信息后筆者發(fā)現(xiàn)這臺(tái)可疑機(jī)器的IP地址為10.82.4.89，另外從掃描的圖表中我們看到了10.82.4.89這臺(tái)計(jì)算機(jī)不光頻繁發(fā)送廣播包，還發(fā)送了基于239.255.255.250地址的組播包，這在我們平時(shí)各種服務(wù)和應(yīng)用中更是少見，這點(diǎn)增加了他的可疑性。(如圖5)

圖5

為了確定筆者的想法本人通過sniffer只針對(duì)該一臺(tái)機(jī)器進(jìn)行掃描，并且在掃描的同時(shí)通過網(wǎng)絡(luò)來訪問之前出現(xiàn)問題的兩臺(tái)服務(wù)器應(yīng)用，結(jié)果發(fā)現(xiàn)只要筆者在瀏覽器中輸入地址訪問辦公郵件系統(tǒng)或信息平臺(tái)，回車后10.82.4.89這臺(tái)機(jī)器就馬上發(fā)送數(shù)據(jù)到239.255.255.250地址，進(jìn)行組播數(shù)據(jù)傳輸?？磥磉@臺(tái)機(jī)器是罪魁禍?zhǔn)椎目赡苄砸呀?jīng)超過百分之八十。(如圖6)

圖6 #p#

小提示：

通過主機(jī)掃描筆者發(fā)現(xiàn)該機(jī)器名為dellesp，地址是10.82.4.89，MAC信息是000BDBC2F6C5。可惜該分支機(jī)構(gòu)DELL機(jī)器有幾十臺(tái)，由于平時(shí)沒有按照科室的序號(hào)對(duì)計(jì)算機(jī)命令，所以無法從dellesp信息來定位故障來源。這點(diǎn)需要引起重視，應(yīng)該在以后的維護(hù)中將各個(gè)員工機(jī)按照一定的順序命令和歸納。

(2)過濾可疑機(jī)：

由于無法通過計(jì)算機(jī)名來定位與排查，所以筆者只能夠在交換機(jī)和路由器上對(duì)地址是10.82.4.89，MAC信息是000BDBC2F6C5機(jī)器進(jìn)行封殺了，如果禁止該機(jī)器訪問網(wǎng)絡(luò)后故障解決就可以斷定他是木馬的來源了。

筆者登錄到交換設(shè)備的管理界面，通過sh mac address命令來查看連接到該交換設(shè)備上的所有網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)的MAC地址。(如圖7)

圖7

接下來交換機(jī)界面會(huì)顯示出所有設(shè)備的MAC地址以及存在類型還有該MAC設(shè)備連接交換機(jī)的端口，在這些信息中筆者看到了MAC地址為000bdbc2f6c5這臺(tái)機(jī)器對(duì)應(yīng)的交換機(jī)端口為GI0/2。于是筆者進(jìn)入到該接口通過shutdown命令關(guān)閉來阻止該機(jī)器對(duì)網(wǎng)絡(luò)的訪問。(如圖8)

圖8

(3)恢復(fù)正常：

當(dāng)我們順利將000bdbc2f6c5這臺(tái)機(jī)器過濾后網(wǎng)絡(luò)馬上恢復(fù)了正常，所有原本出現(xiàn)問題的計(jì)算機(jī)訪問辦公系統(tǒng)和信息平臺(tái)服務(wù)都沒有問題，訪問時(shí)卡巴斯基殺毒軟件也沒有再有任何警報(bào)產(chǎn)生。之后筆者也接到了000bdbc2f6c5這臺(tái)機(jī)器的主人打來電話說上不了網(wǎng)了，原來是辦公室的一臺(tái)筆記本電腦，將其殺毒后才用no shut命令解除了端口過濾。

小提示：

當(dāng)然如果要封鎖的端口連接有多臺(tái)員工計(jì)算機(jī)的話，我們就不能夠通過簡單的shut端口命令來過濾問題機(jī)了，畢竟其他機(jī)器也會(huì)出現(xiàn)無法上網(wǎng)的問題。這時(shí)我們可以使用基于MAC地址的ACL訪問控制列表來解決，由于篇幅的關(guān)系這里就不詳細(xì)介紹了，感興趣的讀者可以自行搜索研究。

六、總結(jié)：

之前筆者一直認(rèn)為木馬病毒和蠕蟲病毒不同并不會(huì)引起全網(wǎng)多臺(tái)機(jī)器無法訪問網(wǎng)絡(luò)，然而經(jīng)過本次故障的排查和解決讓筆者不得不信服現(xiàn)在病毒的強(qiáng)大，對(duì)木馬類病毒更加刮目相看，原來他們不光可以盜取帳號(hào)等個(gè)人隱私，還可以對(duì)網(wǎng)絡(luò)其他機(jī)器造成惡劣影響。希望這種情況能夠引起各位網(wǎng)管讀者的重視，讓我們可以更好更快的解決企業(yè)內(nèi)部網(wǎng)絡(luò)故障，徹底戰(zhàn)勝病毒。

【編輯推薦】

1. 網(wǎng)絡(luò)管理員減負(fù)法寶內(nèi)網(wǎng)管理方案
2. 通過路由器保護(hù)內(nèi)網(wǎng)安全九大步驟