快速清除局域網(wǎng)內瘋狂傳播病毒、木馬的內奸 |
發(fā)布時間: 2012/7/4 13:48:24 |
病毒、木馬的瘋狂讓網(wǎng)絡用戶煩惱異常,由于本人兼職多個小單位、公司的網(wǎng)管,殺毒清木馬的工作當然不計其數(shù),但最近幾次卻遇到了三例非常相似的疑難故障,通過不斷的實踐,終于將問題徹底解決,在此將我的一點點經(jīng)驗總結如下,希望能起到拋磚引玉的作用: 一、網(wǎng)絡應用環(huán)境 一條光纖、或一條寬帶專線進路由器,路由器連接交換機或HUB,各辦公室(科室)的電腦接入交換機,電腦的臺數(shù)約為二、三十臺左右,其中有一臺或幾臺開啟了簡單共享(一般用作單位的共享文件服務器) 二、疑難故障特征 1.共享文件服務器運行緩慢,不穩(wěn)定 2.殺毒軟件和安全軟件被禁用,有時機器上安裝的影子系統(tǒng)或RETURNIL等還原軟件被擊穿 3.斷網(wǎng)全盤殺毒后上線馬上被感染,殺毒軟件再次被禁用(也就是說殺毒軟件搞不定) 4.重分區(qū)、格式化硬盤后重裝系統(tǒng)上線照樣馬上被感染(也就是說重裝故障機無效) 5.被感染的重災區(qū)往往是提供共享服務的電腦(也就是影響整個單位的正常工作) 三、癥狀分析 1.因為殺毒軟件搞不定,所以只能手工探索 2.因為重裝系統(tǒng)無效,可斷定問題的根源不是共享服務器本身 3.因為感染的速度非常快(有時上線4、5分鐘就掛了)所以斷定不是因為外網(wǎng)的原因 4.綜上所述可斷定局域網(wǎng)內出了瘋狂傳播病毒、木馬的內奸 四、清理步驟 1.將共享服務器斷網(wǎng)后清理干凈,把冰刃ICESWORD的主程序改名并運行(不改名的話木馬有可能通過關鍵字關閉冰刃的進程) 2.將共享服務器上線,成功提供必要的服務后馬上在冰刃ICESWORD里禁止進程創(chuàng)建(由于禁止了進程的創(chuàng)建,一則不影響基本的共享服務,二則木馬無法破壞共享服務器,這樣就有充足的時間解決問題了,不會弄得手忙腳亂) 3.找出內奸。由于電腦臺數(shù)較多,一臺一臺的去慢慢甄別費時費力,我采用的方法如下: 隨便找一臺電腦,首先運行冰刃ICESWORD,接入局域網(wǎng)中,再故意開啟一個沒有內容的共享(比如一個空的文件夾),也就是做一個陷阱機。接著監(jiān)視ICESWORD中的端口,看是誰連接這個陷阱共享,持續(xù)15分鐘左右,因為內奸是自動掃描端口的,一般一會兒就會上鉤了。將抓獲的IP地址記下來,用網(wǎng)管軟件強制斷開這些IP的連接,如果一切正常,由于內奸機不能上網(wǎng)了,機主會自動報告故障的。這時就成功、快速的抓出了內奸。 4.徹底清理內奸機,這個清理的過程都是常規(guī)的手段,不啰嗦了。 5.試運行一段時間,如果正常則可解除共享服務器上的冰刃ICESWORD限制。 五、心得體會 剛開始處理這樣的情況時把眼光局限于服務器本身,不知重裝了多少遍,浪費了大量的時間,結果問題依舊。處理這種故障的關鍵是運行好冰刃,作一個陷阱,快速的找出內奸,世界從引變得清靜了。 本文出自:億恩科技【mszdt.com】 |