筆者所在單位是一家中型集團(tuán)化公司，旗下有多家分公司遍布全國，集團(tuán)采用業(yè)務(wù)系統(tǒng)管理旗下眾多公司及相關(guān)業(yè)務(wù)，公司業(yè)務(wù)的日常運(yùn)營完全依賴這些系統(tǒng)，因此系統(tǒng)的穩(wěn)定與否是非常重要的。

問題出現(xiàn)

圖1 殺毒軟件提示結(jié)果

近期單位運(yùn)營部門業(yè)務(wù)的服務(wù)器頻頻出現(xiàn)宕機(jī)事件，具體現(xiàn)象是服務(wù)器經(jīng)常性的死機(jī)或者藍(lán)屏，導(dǎo)致公司業(yè)務(wù)頻頻中斷，因?yàn)樵摲?wù)器是托管在IDC機(jī)房里面，開始筆者以為是服務(wù)器硬件或網(wǎng)絡(luò)故障問題，但通過簡(jiǎn)單的遠(yuǎn)程觀察沒有發(fā)現(xiàn)問題，請(qǐng)機(jī)房工程師協(xié)助重啟后但問題依舊。筆者又懷疑會(huì)不會(huì)是業(yè)務(wù)系統(tǒng)軟件問題，因?yàn)檎翟履I(yè)務(wù)高峰期，系統(tǒng)應(yīng)用人員眾多，是否因服務(wù)負(fù)荷過大導(dǎo)致了服務(wù)器的宕機(jī)呢，筆者為此聯(lián)系了業(yè)務(wù)系統(tǒng)工程師協(xié)助查看，但通過工程師的檢查，業(yè)務(wù)系統(tǒng)的設(shè)置及狀態(tài)管理也都處于合理狀態(tài)，按目前服務(wù)器配置及用戶訪問量，應(yīng)該是沒有問題的。

剿滅病毒的處理過程

問題重又歸到了筆者這邊，筆者感覺有些棘手了，若是重裝系統(tǒng)或許能夠解決問題，但需要對(duì)服務(wù)器里面的業(yè)務(wù)數(shù)據(jù)做好遷移及處理，這樣影響會(huì)非常大，且已到了月末的業(yè)務(wù)高峰期，全國的用戶都在訪問這些系統(tǒng)，因此每一步措施都需要非常慎重，萬一重裝系統(tǒng)也解決不了問題，耽誤了業(yè)務(wù)運(yùn)營，那就麻煩大了。因此筆者認(rèn)為還是先想想其他辦法，抓緊來到機(jī)房仔細(xì)觀察系統(tǒng)狀態(tài)，通過觀察筆者發(fā)現(xiàn)了問題，因?yàn)橄到y(tǒng)CPU的利用率居然時(shí)而高達(dá)100%，且有幾個(gè)陌生進(jìn)程占據(jù)了CPU的大部分資源，難道是中了病毒，仿佛是漆黑的夜里看到了一絲亮光，筆者若有所思，可是該服務(wù)器是裝過正版殺毒軟件的，怎么又會(huì)遭到病毒攻擊呢；想到這里，筆者急忙打開殺毒軟件觀察，果然發(fā)現(xiàn)了該殺毒軟件提示的很多安全威脅，如圖1所示。

至此，服務(wù)器中了病毒看來是確鑿無疑了，利用現(xiàn)有殺毒軟件反復(fù)掃描，卻始終無法徹底剿滅病毒，難道該殺毒軟件已無力阻止這些病毒侵入了，筆者只得又安裝了另一款安全軟件協(xié)助防守，通過兩套安全軟件相互配合、反復(fù)查殺，終于剿滅了服務(wù)器所中的病毒，服務(wù)器的資源利用率也降到了正常范圍內(nèi)，為了防止病毒的死灰復(fù)燃，筆者采用了如下手段:

圖2 防火墻高級(jí)設(shè)置

1.首先是升級(jí)安裝服務(wù)器系統(tǒng)的重要更新補(bǔ)丁，筆者發(fā)現(xiàn)因?yàn)橹胺潘删?，服?wù)器的補(bǔ)丁已許久沒有更新了，及時(shí)通過補(bǔ)丁更新來對(duì)系統(tǒng)進(jìn)行加固，這是安全防守的基礎(chǔ)，尤其是本年度造成重大影響，如“永恒之藍(lán)”勒索病毒及變種等的幾個(gè)重要補(bǔ)丁必須更新。

2.立即阻止服務(wù)器的135、139和 445等 幾 個(gè) 主要端口，以此來抑制病毒的傳播，具體做法如下：以WIN2008 server為 例，在控制面板中，防火墻的高級(jí)設(shè)置里面，點(diǎn)擊新建規(guī)則，選擇“特定本地端口”，輸入135,137,138,139,445，選擇“阻止連接”即可，如圖2所示。

3.在原有安全防護(hù)軟件的基礎(chǔ)上，本次筆者又安裝了360殺毒軟件也是非常重要的一步，兩套防護(hù)軟件相互配合，取長(zhǎng)補(bǔ)短，最終對(duì)病毒徹底根除。

收獲與總結(jié)

通過上述處理，筆者思考及做了總結(jié)，主要如下：

從理論上講，系統(tǒng)內(nèi)最好只安裝一套殺毒軟件，否則容易多占用資源或引起系統(tǒng)兼容性問題，筆者之前也這么認(rèn)為，但本次筆者在服務(wù)器內(nèi)安裝了兩套殺毒軟件后，發(fā)現(xiàn)并沒有引起上述問題，且兩套殺毒軟件相互配合、相得益彰，最終順利將病毒徹底剿滅，效果非常不錯(cuò)；

安全盡管是個(gè)老生常談的問題，但平穩(wěn)久了還是容易讓人產(chǎn)生懈怠，給黑客、病毒以可乘之機(jī)，本例就是這樣，通過本次病毒危機(jī)后，我們反思自己，重新加強(qiáng)了安全管理，嚴(yán)格制度及大家的上網(wǎng)行為，技術(shù)上及時(shí)更新系統(tǒng)及安全軟件的補(bǔ)丁，規(guī)范服務(wù)器定期更新操作及數(shù)據(jù)安全備份機(jī)制，以應(yīng)對(duì)不測(cè)。通過上述處理，系統(tǒng)安全得到提升，但安全與威脅從來就是矛盾的存在著，需要我們時(shí)時(shí)警惕，防微杜漸，這樣的安全才能更持久。