【51CTO.com綜合消息】2009年4月22日，天融信安全工程師小張像往常一樣，坐在電腦前分析著每小時(shí)的安全日志。突然，某單位圖片查詢服務(wù)器(192.168.1.5)大量的異常請(qǐng)求鏈接引起了小張的關(guān)注，多年積累的經(jīng)驗(yàn)告訴他，該服務(wù)器存在安全問(wèn)題。

　　作為天融信安全服務(wù)工作中的一部分，小張和同事們首先過(guò)濾出用戶安全日志和圖片服務(wù)器的全部日志，并在此基礎(chǔ)上做進(jìn)一步過(guò)濾，以便將和異常事件相關(guān)的線索逐一篩選出來(lái)。隨后，安全工程師們立即對(duì)安全事件進(jìn)行比對(duì)分析，結(jié)合安全監(jiān)控平臺(tái)觸發(fā)的關(guān)聯(lián)事件，基本上斷定了用戶局域網(wǎng)內(nèi)圖片查詢服務(wù)器存在病毒。

　　與用戶溝通后得知，內(nèi)網(wǎng)用戶在訪問(wèn)圖片查詢服務(wù)器時(shí)，客戶端殺毒軟件不斷彈出警告，提示存在惡意軟件或病毒，嚴(yán)重影響正常應(yīng)用?？蛻舻姆答佊∽C了天融信安全工程師的判斷，為用戶服務(wù)器清除病毒刻不容緩。

　　說(shuō)話間，小張和同事已經(jīng)帶著筆記本來(lái)到客戶公司。根據(jù)對(duì)圖片查詢服務(wù)器、客戶端以及殺毒軟件日志相關(guān)信息的收集，天融信安全工程師簡(jiǎn)單復(fù)原了病毒感染和爆發(fā)的過(guò)程，并給出事故說(shuō)明。

　　1、病毒感染的兩種可能：第一種可能，2009年4月22日左右，單位內(nèi)某工作人員在可以連接公網(wǎng)的機(jī)器上瀏覽網(wǎng)頁(yè)時(shí)，被病毒或者木馬所感染，之后工作人員在內(nèi)網(wǎng)機(jī)器和可以連接公網(wǎng)的機(jī)器間進(jìn)行拷貝數(shù)據(jù)時(shí)，病毒進(jìn)入局域網(wǎng)，由于局域網(wǎng)內(nèi)多臺(tái)機(jī)器存在管理員空口令、網(wǎng)絡(luò)共享等漏洞，病毒便開始蔓延；第二種可能，2009年4月22日左右，單位內(nèi)某工作人員在家中上網(wǎng)瀏覽網(wǎng)頁(yè)時(shí)，被病毒或者木馬類感染，之后工作人員在內(nèi)網(wǎng)機(jī)器和家中機(jī)器間進(jìn)行拷貝數(shù)據(jù)時(shí)，病毒進(jìn)入局域網(wǎng)，由于局域網(wǎng)內(nèi)多臺(tái)機(jī)器存在管理員空口令、網(wǎng)絡(luò)共享等漏洞，病毒便開始蔓延；

　　2、W32/Fujacks.aw通過(guò)攻擊存在網(wǎng)絡(luò)共享并具有弱口令的機(jī)器，在局域網(wǎng)內(nèi)進(jìn)行繁殖和傳播，之后從互聯(lián)網(wǎng)下載惡意軟件，修改系統(tǒng)注冊(cè)表以達(dá)到破壞眾多殺毒軟件的查殺，同時(shí)搜索主機(jī)內(nèi)所有asp和htm后綴的文件，在其中插入隱藏的Iframe掛馬頁(yè)面框架，當(dāng)用戶瀏覽該頁(yè)面時(shí)，便會(huì)在不知道的情況下自動(dòng)下載木馬等惡意軟件。

　　事件來(lái)龍去脈基本掌握，小張與客戶進(jìn)行了簡(jiǎn)單溝通后，即可將斷網(wǎng)進(jìn)入應(yīng)急流程。在這要強(qiáng)調(diào)一下，安全服務(wù)人員斷網(wǎng)之前一定要和客戶進(jìn)行溝通，在征得用戶的同意后方可斷網(wǎng)。

　　1、首先把圖片查詢服務(wù)器與內(nèi)網(wǎng)PC終端進(jìn)行網(wǎng)絡(luò)隔離，斷網(wǎng)；

　　2、對(duì)圖片服務(wù)器進(jìn)行數(shù)據(jù)備份，防止在病毒清理過(guò)程中不當(dāng)操作造成數(shù)據(jù)的丟失；

　　3、手工對(duì)圖片服務(wù)器進(jìn)行檢查，終止惡意進(jìn)程、手工清除病毒文件、修復(fù)注冊(cè)表的等；

　　4、將圖片查詢系統(tǒng)全部備份至安全無(wú)毒的存儲(chǔ)介質(zhì)，然后在安全無(wú)毒的機(jī)器上對(duì)系統(tǒng)所有頁(yè)面進(jìn)行惡意代碼清理，最后進(jìn)行檢查；

　　5、在原有的圖片查詢系統(tǒng)目錄內(nèi)新建一個(gè)目錄，將清理完畢的圖片查詢系統(tǒng)放入其中，然后新建一個(gè)虛擬的web站點(diǎn)對(duì)其進(jìn)行測(cè)試，一切正常，連上測(cè)試機(jī)對(duì)其訪問(wèn)，殺毒軟件不再?gòu)棾鰫阂廛浖崾敬翱冢?/P>

　　6、重新啟動(dòng)IIS，用戶訪問(wèn)恢復(fù)正常。

　　至此，病毒清除工作順利完成。作為天融信安全服務(wù)的一部分，在對(duì)事件進(jìn)行總結(jié)之后，小張向客戶提出了安全建議和網(wǎng)絡(luò)規(guī)劃建議，并贏得了用戶的肯定。

　　安全建議：

　　1、對(duì)服務(wù)器關(guān)鍵數(shù)據(jù)進(jìn)行定時(shí)、定期的數(shù)據(jù)備份，盡量減少發(fā)生安全事件時(shí)的損失；

　　2、對(duì)單位內(nèi)進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)培訓(xùn)，提高安全防范意識(shí)，避免工作中的不安全的操作，減少安全事件發(fā)生的概率；

　　3、對(duì)局域網(wǎng)內(nèi)所有服務(wù)器包括PC終端部署安裝防毒軟件、防火墻等，并及時(shí)升級(jí)病毒庫(kù)、防火墻策略、更新系統(tǒng)補(bǔ)?。?/P>

　　4、對(duì)單位內(nèi)服務(wù)器和所有終端進(jìn)行全面的安全評(píng)估和加固，增強(qiáng)系統(tǒng)的安全性；

　　5、在服務(wù)器和客戶端之間進(jìn)行文件拷貝時(shí)利用專門的存儲(chǔ)設(shè)備，防止交叉重復(fù)感染。

　　網(wǎng)絡(luò)規(guī)劃建議：

　　1、 對(duì)管內(nèi)系統(tǒng)部署桌面終端軟件，實(shí)現(xiàn)內(nèi)網(wǎng)可控管理；

　　2、 劃分DMZ區(qū)，對(duì)重要服務(wù)器群進(jìn)行隔離和訪問(wèn)控制，以達(dá)到保護(hù)重要資產(chǎn)和信息的目的。