科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网管经验谈:内网病毒缉拿记

网管经验谈:内网病毒缉拿记

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

身为中小企业的网络管理员主要工作就是负责企业内部网络及各个服务器的安全,因此必然离不开各式各样的网络及单机病毒。当然对于单机病毒来说一个强有力的杀毒软件加上最终的重装系统是百分之百可以解决的。

作者:论坛整理 来源:zdnet网络安全 2008年3月11日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

(2)过滤可疑机:

由于无法通过计算机名来定位与排查,所以笔者只能够在交换机和路由器上对地址是10.82.4.89,MAC信息是000BDBC2F6C5机器进行封杀了,如果禁止该机器访问网络后故障解决就可以断定他是木马的来源了。

笔者登录到交换设备的管理界面,通过sh mac address命令来查看连接到该交换设备上的所有网络设备对应的MAC地址。(如图7)

图7

接下来交换机界面会显示出所有设备的MAC地址以及存在类型还有该MAC设备连接交换机的端口,在这些信息中笔者看到了MAC地址为000bdbc2f6c5这台机器对应的交换机端口为GI0/2。于是笔者进入到该接口通过shutdown命令关闭来阻止该机器对网络的访问。(如图8)

图8

(3)恢复正常:

当我们顺利将000bdbc2f6c5这台机器过滤后网络马上恢复了正常,所有原本出现问题的计算机访问办公系统和信息平台服务都没有问题,访问时卡巴斯基杀毒软件也没有再有任何警报产生。之后笔者也接到了000bdbc2f6c5这台机器的主人打来电话说上不了网了,原来是办公室的一台笔记本电脑,将其杀毒后才用no shut命令解除了端口过滤。

小提示:

当然如果要封锁的端口连接有多台员工计算机的话,我们就不能够通过简单的shut端口命令来过滤问题机了,毕竟其他机器也会出现无法上网的问题。这时我们可以使用基于MAC地址的ACL访问控制列表来解决,由于篇幅的关系这里就不详细介绍了,感兴趣的读者可以自行搜索研究。

六,总结:

之前笔者一直认为木马病毒和蠕虫病毒不同并不会引起全网多台机器无法访问网络,然而经过本次故障的排查和解决让笔者不得不信服现在病毒的强大,对木马类病毒更加刮目相看,原来他们不光可以盗取帐号等个人隐私,还可以对网络其他机器造成恶劣影响。希望这种情况能够引起各位IT168网管读者的重视,让我们可以更好更快的解决企业内部网络故障,彻底战胜病毒。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章