网管经验谈：内网病毒缉拿记

（2）过滤可疑机：

由于无法通过计算机名来定位与排查，所以笔者只能够在交换机和路由器上对地址是10.82.4.89，MAC信息是000BDBC2F6C5机器进行封杀了，如果禁止该机器访问网络后故障解决就可以断定他是木马的来源了。

笔者登录到交换设备的管理界面，通过sh mac address命令来查看连接到该交换设备上的所有网络设备对应的MAC地址。（如图7）

图7

接下来交换机界面会显示出所有设备的MAC地址以及存在类型还有该MAC设备连接交换机的端口，在这些信息中笔者看到了MAC地址为000bdbc2f6c5这台机器对应的交换机端口为GI0/2。于是笔者进入到该接口通过shutdown命令关闭来阻止该机器对网络的访问。（如图8）

图8

（3）恢复正常：

当我们顺利将000bdbc2f6c5这台机器过滤后网络马上恢复了正常，所有原本出现问题的计算机访问办公系统和信息平台服务都没有问题，访问时卡巴斯基杀毒软件也没有再有任何警报产生。之后笔者也接到了000bdbc2f6c5这台机器的主人打来电话说上不了网了，原来是办公室的一台笔记本电脑，将其杀毒后才用no shut命令解除了端口过滤。

小提示：

当然如果要封锁的端口连接有多台员工计算机的话，我们就不能够通过简单的shut端口命令来过滤问题机了，毕竟其他机器也会出现无法上网的问题。这时我们可以使用基于MAC地址的ACL访问控制列表来解决，由于篇幅的关系这里就不详细介绍了，感兴趣的读者可以自行搜索研究。

六，总结：

之前笔者一直认为木马病毒和蠕虫病毒不同并不会引起全网多台机器无法访问网络，然而经过本次故障的排查和解决让笔者不得不信服现在病毒的强大，对木马类病毒更加刮目相看，原来他们不光可以盗取帐号等个人隐私，还可以对网络其他机器造成恶劣影响。希望这种情况能够引起各位IT168网管读者的重视，让我们可以更好更快的解决企业内部网络故障，彻底战胜病毒。