案例演示:Soc运营中心的一次病毒处理

安全
与用户沟通后得知,内网用户在访问图片查询服务器时,客户端杀毒软件不断弹出警告,提示存在恶意软件或病毒,严重影响正常应用。客户的反馈印证了天融信安全工程师的判断,为用户服务器清除病毒刻不容缓。

【51CTO.com综合消息】2009年4月22日,天融信安全工程师小张像往常一样,坐在电脑前分析着每小时的安全日志。突然,某单位图片查询服务器(192.168.1.5)大量的异常请求链接引起了小张的关注,多年积累的经验告诉他,该服务器存在安全问题。

  作为天融信安全服务工作中的一部分,小张和同事们首先过滤出用户安全日志和图片服务器的全部日志,并在此基础上做进一步过滤,以便将和异常事件相关的线索逐一筛选出来。随后,安全工程师们立即对安全事件进行比对分析,结合安全监控平台触发的关联事件,基本上断定了用户局域网内图片查询服务器存在病毒。

  与用户沟通后得知,内网用户在访问图片查询服务器时,客户端杀毒软件不断弹出警告,提示存在恶意软件或病毒,严重影响正常应用。客户的反馈印证了天融信安全工程师的判断,为用户服务器清除病毒刻不容缓。

  说话间,小张和同事已经带着笔记本来到客户公司。根据对图片查询服务器、客户端以及杀毒软件日志相关信息的收集,天融信安全工程师简单复原了病毒感染和爆发的过程,并给出事故说明。

  1、病毒感染的两种可能:第一种可能,2009年4月22日左右,单位内某工作人员在可以连接公网的机器上浏览网页时,被病毒或者木马所感染,之后工作人员在内网机器和可以连接公网的机器间进行拷贝数据时,病毒进入局域网,由于局域网内多台机器存在管理员空口令、网络共享等漏洞,病毒便开始蔓延;第二种可能,2009年4月22日左右,单位内某工作人员在家中上网浏览网页时,被病毒或者木马类感染,之后工作人员在内网机器和家中机器间进行拷贝数据时,病毒进入局域网,由于局域网内多台机器存在管理员空口令、网络共享等漏洞,病毒便开始蔓延;

  2、W32/Fujacks.aw通过攻击存在网络共享并具有弱口令的机器,在局域网内进行繁殖和传播,之后从互联网下载恶意软件,修改系统注册表以达到破坏众多杀毒软件的查杀,同时搜索主机内所有asp和htm后缀的文件,在其中插入隐藏的Iframe挂马页面框架,当用户浏览该页面时,便会在不知道的情况下自动下载木马等恶意软件。

  事件来龙去脉基本掌握,小张与客户进行了简单沟通后,即可将断网进入应急流程。在这要强调一下,安全服务人员断网之前一定要和客户进行沟通,在征得用户的同意后方可断网。

  1、首先把图片查询服务器与内网PC终端进行网络隔离,断网;

  2、对图片服务器进行数据备份,防止在病毒清理过程中不当操作造成数据的丢失;

  3、手工对图片服务器进行检查,终止恶意进程、手工清除病毒文件、修复注册表的等;

  4、将图片查询系统全部备份至安全无毒的存储介质,然后在安全无毒的机器上对系统所有页面进行恶意代码清理,最后进行检查;

  5、在原有的图片查询系统目录内新建一个目录,将清理完毕的图片查询系统放入其中,然后新建一个虚拟的web站点对其进行测试,一切正常,连上测试机对其访问,杀毒软件不再弹出恶意软件提示窗口;

  6、重新启动IIS,用户访问恢复正常。

  至此,病毒清除工作顺利完成。作为天融信安全服务的一部分,在对事件进行总结之后,小张向客户提出了安全建议和网络规划建议,并赢得了用户的肯定。

  安全建议:

  1、对服务器关键数据进行定时、定期的数据备份,尽量减少发生安全事件时的损失;

  2、对单位内进行网络安全基础知识培训,提高安全防范意识,避免工作中的不安全的操作,减少安全事件发生的概率;

  3、对局域网内所有服务器包括PC终端部署安装防毒软件、防火墙等,并及时升级病毒库、防火墙策略、更新系统补丁;

  4、对单位内服务器和所有终端进行全面的安全评估和加固,增强系统的安全性;

  5、在服务器和客户端之间进行文件拷贝时利用专门的存储设备,防止交叉重复感染。

  网络规划建议:

  1、 对管内系统部署桌面终端软件,实现内网可控管理;

  2、 划分DMZ区,对重要服务器群进行隔离和访问控制,以达到保护重要资产和信息的目的。

责任编辑:王文文 来源: 51CTO.com
相关推荐

2021-06-25 18:19:02

SOC

2021-06-25 18:20:00

SOC

2023-08-31 00:02:58

2021-06-25 18:27:11

SOC

2023-10-13 00:06:37

2023-10-12 06:41:24

2022-01-10 07:12:34

安全运营中心SOC网络安全

2023-11-06 07:45:42

单据图片处理

2021-02-06 10:08:41

安全运营

2023-10-11 00:04:10

2010-05-26 09:36:00

云安全SOCArbor Netwo

2011-06-28 10:41:50

DBA

2020-08-19 11:02:39

系统ssh登录

2021-03-18 23:47:18

MySQLselect索引

2018-09-14 10:48:45

Java内存泄漏

2010-11-29 09:12:22

2023-10-26 00:10:49

2022-09-03 18:29:49

开发技术

2021-12-27 10:08:16

Python编程语言

2020-10-24 13:50:59

Python编程语言
点赞
收藏

51CTO技术栈公众号