网管谈：内网病毒缉拿记(1)

网管谈：内网病毒缉拿记(1)

身为中小企业的网络管理员主要工作就是负责企业内部网络及各个服务器的安全，因此必然离不开各式各样的网络及单机病毒。当然对于单机病毒来说一个强有力的杀毒软件加上最终的重装系统是百分之百可以解决的。

然而一旦病毒和内网联系起来的话，网络管理员将面临棘手的查杀难题。最近笔者所在单位就爆发了一次局部的网络病毒，排查与解决问题的过程是曲折而复杂的。

一、网络环境简介：

笔者负责区级教育网络的维护工作，全部教育城域网均使用由我们提供的服务，包括办公网邮件系统服务以及信息网站互动平台等。所有服务器都在10.82.0.*/255.255.254.0这个网段，结合入侵检测系统和防毒进行进行防护，而其他各个教育机构都通过电信的光纤连接到核心层的网络设备上，每个教育机构独立一个诸如10.82.*.*的内部网段。

二、故障起因——服务器部分服务失效：

最近有一个部门的员工打电话告诉我们说这几天一直无法正常访问办公网邮件系统服务器10.82.0.3以及信息网站互动平台10.82.0.1，而访问其他诸如搜狐，新浪等外部网站都没有问题。开始笔者以为是该员工的计算机自身存在问题，让其恢复了系统后问题也得到了解决。然而随着时间的推进笔者又接收到来自该分支机构的多个不同科室的电话，反映的情况都是一样的即无法正常访问办公网邮件系统服务器10.82.0.3以及信息网站互动平台10.82.0.1。与此同时笔者用自己的机器访问这两台服务器上的应用服务时没有任何问题，也没有接到其他分支机构的故障电话，而且本人咨询了具体情况后发现并不是该分支机构下的所有机器都无法访问这两个服务器上的应用，出现问题的只是其中的十几台，其他几十台没有任何问题。

三、排查故障——筛选目标：(如图1)

图1

为了更好的了解和解决网络问题，笔者亲自到该分支机构去检测。检测发现当访问10.82.0.3邮件办公系统时可以出现正常的访问登录界面，不过在输入用户名和密码时要嘛“登录”按钮不能用，要嘛干脆登录进入后直接出现一行名为“office.nsf/pgnavigator?openpage>http/1.1 200 ok content-length:4742 content-type:text/html”报错的提示，而且和往常登录界面不同的是在办公主页下方出现了一行“input”的小字。之后笔者更换了浏览器为火狐以及腾讯的TT浏览器故障依旧，看来并不是本机IE浏览器插件的问题。而且笔者还得到了一个新的消息，那就是前几天更更恢复完系统解决问题的那个员工计算机又出现了同样的症状，无法顺利访问这两台服务器。

通过检测的种种现象来看，首先服务器自身的问题可以排除，毕竟其他分支机构以及笔者都可以顺利访问，而且该机构下的某些机器也可以顺利登录信息平台和邮件系统。另外当把系统恢复到以前或者重新安装后问题也可以解决，这说明故障确实出现在本机。排除了服务器，网络设备后笔者将关注的目标放到了本机上。