然而一旦病毒和內(nèi)網(wǎng)聯(lián)系起來的話，網(wǎng)絡(luò)管理員將面臨棘手的查殺難題。最近筆者所在單位就爆發(fā)了一次局部的網(wǎng)絡(luò)病毒，排查與解決問題的過程是曲折和復(fù)雜的，在這里筆者不愿獨享寫出來和各位IT168的網(wǎng)管讀者探討與研究。

　　一，網(wǎng)絡(luò)環(huán)境簡介：

　　筆者負(fù)責(zé)區(qū)級教育網(wǎng)絡(luò)的維護(hù)工作，全部教育城域網(wǎng)均使用由我們提供的服務(wù)，包括辦公網(wǎng)郵件系統(tǒng)服務(wù)以及信息網(wǎng)站互動平臺等。所有服務(wù)器都在10.82.0.*/255.255.254.0這個網(wǎng)段，結(jié)合入侵檢測系統(tǒng)和防毒進(jìn)行進(jìn)行防護(hù)，而其他各個教育機(jī)構(gòu)都通過電信的光纖連接到核心層的網(wǎng)絡(luò)設(shè)備上，每個教育機(jī)構(gòu)獨立一個諸如10.82.*.*的內(nèi)部網(wǎng)段。

　　二，故障起因??服務(wù)器部分服務(wù)失效：

　　最近有一個部門的員工打電話告訴我們說這幾天一直無法正常訪問辦公網(wǎng)郵件系統(tǒng)服務(wù)器10.82.0.3以及信息網(wǎng)站互動平臺10.82.0.1，而訪問其他諸如搜狐，新浪等外部網(wǎng)站都沒有問題。開始筆者以為是該員工的計算機(jī)自身存在問題，讓其恢復(fù)了系統(tǒng)后問題也得到了解決。然而隨著時間的推進(jìn)筆者又接收到來自該分支機(jī)構(gòu)的多個不同科室的電話，反映的情況都是一樣的即無法正常訪問辦公網(wǎng)郵件系統(tǒng)服務(wù)器10.82.0.3以及信息網(wǎng)站互動平臺10.82.0.1。與此同時筆者用自己的機(jī)器訪問這兩臺服務(wù)器上的應(yīng)用服務(wù)時沒有任何問題，也沒有接到其他分支機(jī)構(gòu)的故障電話，而且本人咨詢了具體情況后發(fā)現(xiàn)并不是該分支機(jī)構(gòu)下的所有機(jī)器都無法訪問這兩個服務(wù)器上的應(yīng)用，出現(xiàn)問題的只是其中的十幾臺，其他幾十臺沒有任何問題。

　　三，排查故障??篩選目標(biāo)：（如圖1）

圖1

　　為了更好的了解和解決網(wǎng)絡(luò)問題，筆者親自到該分支機(jī)構(gòu)去檢測。檢測發(fā)現(xiàn)當(dāng)訪問10.82.0.3郵件辦公系統(tǒng)時可以出現(xiàn)正常的訪問登錄界面，不過在輸入用戶名和密碼時要嘛“登錄”按鈕不能用，要嘛干脆登錄進(jìn)入后直接出現(xiàn)一行名為“office.nsf/pgnavigator?openpage>http/1.1 200 ok content-length:4742 content-type:text/html”報錯的提示，而且和往常登錄界面不同的是在辦公主頁下方出現(xiàn)了一行“input”的小字。之后筆者更換了瀏覽器為火狐以及騰訊的TT瀏覽器故障依舊，看來并不是本機(jī)IE瀏覽器插件的問題。而且筆者還得到了一個新的消息，那就是前幾天更更恢復(fù)完系統(tǒng)解決問題的那個員工計算機(jī)又出現(xiàn)了同樣的癥狀，無法順利訪問這兩臺服務(wù)器。

　　通過檢測的種種現(xiàn)象來看，首先服務(wù)器自身的問題可以排除，畢竟其他分支機(jī)構(gòu)以及筆者都可以順利訪問，而且該機(jī)構(gòu)下的某些機(jī)器也可以順利登錄信息平臺和郵件系統(tǒng)。另外當(dāng)把系統(tǒng)恢復(fù)到以前或者重新安裝后問題也可以解決，這說明故障確實出現(xiàn)在本機(jī)。排除了服務(wù)器，網(wǎng)絡(luò)設(shè)備后筆者將關(guān)注的目標(biāo)放到了本機(jī)上。

　　四，高級檢測??確定目標(biāo)：

　　平時這個分支機(jī)構(gòu)的計算機(jī)都是由筆者和幾個同伴一起負(fù)責(zé)維護(hù)，按照常理來說安全防范級別應(yīng)該比較高，系統(tǒng)自動更新補(bǔ)丁都隨時安裝，殺毒軟件也使用的是卡巴斯基，那么為什么還會在本機(jī)出現(xiàn)故障呢？筆者再次檢測發(fā)現(xiàn)出問題的幾臺計算機(jī)的卡巴斯基并沒有升級到最新病毒庫，于是手工升級，并在安全模式下全面查殺本地硬盤各個分區(qū)，確保無毒后再次訪問辦公系統(tǒng)，結(jié)果令人遺憾的是故障依舊。不過每當(dāng)訪問這兩個服務(wù)器應(yīng)用服務(wù)時卡巴斯基都給出了發(fā)現(xiàn)危機(jī)的提示??malcious http object <http://ck1.in/n.js>:access denied。這說明在訪問服務(wù)器時頁面要求自動跳轉(zhuǎn)到http://ck1.in/n.js這個地址，而該地址被卡巴斯基過濾禁止訪問了。筆者測試了所有出問題的機(jī)器都在訪問服務(wù)器時卡巴斯基給出警報提示。（如圖2）

圖2

　　由于之前已經(jīng)確定了服務(wù)器自身沒有問題，所以排除了服務(wù)器上存在木馬或被篡改添加惡意腳本的可能，因此我們確定了目標(biāo)，主要問題是病毒帶來的，該病毒被卡巴斯基命名為trojan program trojan-downloader.js.agent.lg，是一種木馬病毒。筆者在故障機(jī)上直接訪問http://ck1.in/n.js這個地址出現(xiàn)了該地址被殺毒軟件屏蔽的提示，看來該地址是萬惡之源。（如圖3）

圖3

　　然而一旦病毒和內(nèi)網(wǎng)聯(lián)系起來的話，網(wǎng)絡(luò)管理員將面臨棘手的查殺難題。最近筆者所在單位就爆發(fā)了一次局部的網(wǎng)絡(luò)病毒，排查與解決問題的過程是曲折和復(fù)雜的，在這里筆者不愿獨享寫出來和各位IT168的網(wǎng)管讀者探討與研究。

　　一，網(wǎng)絡(luò)環(huán)境簡介：

　　筆者負(fù)責(zé)區(qū)級教育網(wǎng)絡(luò)的維護(hù)工作，全部教育城域網(wǎng)均使用由我們提供的服務(wù)，包括辦公網(wǎng)郵件系統(tǒng)服務(wù)以及信息網(wǎng)站互動平臺等。所有服務(wù)器都在10.82.0.*/255.255.254.0這個網(wǎng)段，結(jié)合入侵檢測系統(tǒng)和防毒進(jìn)行進(jìn)行防護(hù)，而其他各個教育機(jī)構(gòu)都通過電信的光纖連接到核心層的網(wǎng)絡(luò)設(shè)備上，每個教育機(jī)構(gòu)獨立一個諸如10.82.*.*的內(nèi)部網(wǎng)段。

　　二，故障起因??服務(wù)器部分服務(wù)失效：

　　最近有一個部門的員工打電話告訴我們說這幾天一直無法正常訪問辦公網(wǎng)郵件系統(tǒng)服務(wù)器10.82.0.3以及信息網(wǎng)站互動平臺10.82.0.1，而訪問其他諸如搜狐，新浪等外部網(wǎng)站都沒有問題。開始筆者以為是該員工的計算機(jī)自身存在問題，讓其恢復(fù)了系統(tǒng)后問題也得到了解決。然而隨著時間的推進(jìn)筆者又接收到來自該分支機(jī)構(gòu)的多個不同科室的電話，反映的情況都是一樣的即無法正常訪問辦公網(wǎng)郵件系統(tǒng)服務(wù)器10.82.0.3以及信息網(wǎng)站互動平臺10.82.0.1。與此同時筆者用自己的機(jī)器訪問這兩臺服務(wù)器上的應(yīng)用服務(wù)時沒有任何問題，也沒有接到其他分支機(jī)構(gòu)的故障電話，而且本人咨詢了具體情況后發(fā)現(xiàn)并不是該分支機(jī)構(gòu)下的所有機(jī)器都無法訪問這兩個服務(wù)器上的應(yīng)用，出現(xiàn)問題的只是其中的十幾臺，其他幾十臺沒有任何問題。

　　三，排查故障??篩選目標(biāo)：（如圖1）

圖1

　　為了更好的了解和解決網(wǎng)絡(luò)問題，筆者親自到該分支機(jī)構(gòu)去檢測。檢測發(fā)現(xiàn)當(dāng)訪問10.82.0.3郵件辦公系統(tǒng)時可以出現(xiàn)正常的訪問登錄界面，不過在輸入用戶名和密碼時要嘛“登錄”按鈕不能用，要嘛干脆登錄進(jìn)入后直接出現(xiàn)一行名為“office.nsf/pgnavigator?openpage>http/1.1 200 ok content-length:4742 content-type:text/html”報錯的提示，而且和往常登錄界面不同的是在辦公主頁下方出現(xiàn)了一行“input”的小字。之后筆者更換了瀏覽器為火狐以及騰訊的TT瀏覽器故障依舊，看來并不是本機(jī)IE瀏覽器插件的問題。而且筆者還得到了一個新的消息，那就是前幾天更更恢復(fù)完系統(tǒng)解決問題的那個員工計算機(jī)又出現(xiàn)了同樣的癥狀，無法順利訪問這兩臺服務(wù)器。

　　通過檢測的種種現(xiàn)象來看，首先服務(wù)器自身的問題可以排除，畢竟其他分支機(jī)構(gòu)以及筆者都可以順利訪問，而且該機(jī)構(gòu)下的某些機(jī)器也可以順利登錄信息平臺和郵件系統(tǒng)。另外當(dāng)把系統(tǒng)恢復(fù)到以前或者重新安裝后問題也可以解決，這說明故障確實出現(xiàn)在本機(jī)。排除了服務(wù)器，網(wǎng)絡(luò)設(shè)備后筆者將關(guān)注的目標(biāo)放到了本機(jī)上。

　　四，高級檢測??確定目標(biāo)：

　　平時這個分支機(jī)構(gòu)的計算機(jī)都是由筆者和幾個同伴一起負(fù)責(zé)維護(hù)，按照常理來說安全防范級別應(yīng)該比較高，系統(tǒng)自動更新補(bǔ)丁都隨時安裝，殺毒軟件也使用的是卡巴斯基，那么為什么還會在本機(jī)出現(xiàn)故障呢？筆者再次檢測發(fā)現(xiàn)出問題的幾臺計算機(jī)的卡巴斯基并沒有升級到最新病毒庫，于是手工升級，并在安全模式下全面查殺本地硬盤各個分區(qū)，確保無毒后再次訪問辦公系統(tǒng)，結(jié)果令人遺憾的是故障依舊。不過每當(dāng)訪問這兩個服務(wù)器應(yīng)用服務(wù)時卡巴斯基都給出了發(fā)現(xiàn)危機(jī)的提示??malcious http object <http://ck1.in/n.js>:access denied。這說明在訪問服務(wù)器時頁面要求自動跳轉(zhuǎn)到http://ck1.in/n.js這個地址，而該地址被卡巴斯基過濾禁止訪問了。筆者測試了所有出問題的機(jī)器都在訪問服務(wù)器時卡巴斯基給出警報提示。（如圖2）

圖2

　　由于之前已經(jīng)確定了服務(wù)器自身沒有問題，所以排除了服務(wù)器上存在木馬或被篡改添加惡意腳本的可能，因此我們確定了目標(biāo)，主要問題是病毒帶來的，該病毒被卡巴斯基命名為trojan program trojan-downloader.js.agent.lg，是一種木馬病毒。筆者在故障機(jī)上直接訪問http://ck1.in/n.js這個地址出現(xiàn)了該地址被殺毒軟件屏蔽的提示，看來該地址是萬惡之源。（如圖3）

圖3