Soc运营中心的一次病毒处理

2009年4月22日,天融信安全工程师小张像往常一样,坐在电脑前分析着每小时的安全日志。突然,某单位图片查询服务器(192.168.1.5)大量的异常请求链接引起了小张的关注,多年积累的经验告诉他,该服务器存在安全问题。

作为天融信安全服务工作中的一部分,小张和同事们首先过滤出用户安全日志和图片服务器的全部日志,并在此基础上做进一步过滤,以便将和异常事件相关的线索逐一筛选出来。随后,安全工程师们立即对安全事件进行比对分析,结合安全监控平台触发的关联事件,基本上断定了用户局域网内图片查询服务器存在病毒。

与用户沟通后得知,内网用户在访问图片查询服务器时,客户端杀毒软件不断弹出警告,提示存在恶意软件或病毒,严重影响正常应用。客户的反馈印证了天融信安全工程师的判断,为用户服务器清除病毒刻不容缓。

说话间,小张和同事已经带着笔记本来到客户公司。根据对图片查询服务器、客户端以及杀毒软件日志相关信息的收集,天融信安全工程师简单复原了病毒感染和爆发的过程,并给出事故说明。

1、病毒感染的两种可能:第一种可能,2009年4月22日左右,单位内某工作人员在可以连接公网的机器上浏览网页时,被病毒或者木马所感染,之后工作人员在内网机器和可以连接公网的机器间进行拷贝数据时,病毒进入局域网,由于局域网内多台机器存在管理员空口令、网络共享等漏洞,病毒便开始蔓延;第二种可能,2009年4月22日左右,单位内某工作人员在家中上网浏览网页时,被病毒或者木马类感染,之后工作人员在内网机器和家中机器间进行拷贝数据时,病毒进入局域网,由于局域网内多台机器存在管理员空口令、网络共享等漏洞,病毒便开始蔓延;

2、W32/Fujacks.aw通过攻击存在网络共享并具有弱口令的机器,在局域网内进行繁殖和传播,之后从互联网下载恶意软件,修改系统注册表以达到破坏众多杀毒软件的查杀,同时搜索主机内所有asp和htm后缀的文件,在其中插入隐藏的Iframe挂马页面框架,当用户浏览该页面时,便会在不知道的情况下自动下载木马等恶意软件;

事件来龙去脉基本掌握,小张与客户进行了简单沟通后,即可将断网进入应急流程。在这要强调一下,安全服务人员断网之前一定要和客户进行沟通,在征得用户的同意后方可断网。

1、首先把图片查询服务器与内网PC终端进行网络隔离,断网;

2、对图片服务器进行数据备份,防止在病毒清理过程中不当操作造成数据的丢失;

3、手工对图片服务器进行检查,终止恶意进程、手工清除病毒文件、修复注册表的等;

4、将图片查询系统全部备份至安全无毒的存储介质,然后在安全无毒的机器上对系统所有页面进行恶意代码清理,最后进行检查;

5、在原有的图片查询系统目录内新建一个目录,将清理完毕的图片查询系统放入其中,然后新建一个虚拟的web站点对其进行测试,一切正常,连上测试机对其访问,杀毒软件不再弹出恶意软件提示窗口;

6、重新启动IIS,用户访问恢复正常。
至此,病毒清除工作顺利完成。作为天融信安全服务的一部分,在对事件进行总结之后,小张向客户提出了安全建议和网络规划建议,并赢得了用户的肯定。

安全建议:

1、对服务器关键数据进行定时、定期的数据备份,尽量减少发生安全事件时的损失;

2、对单位内进行网络安全基础知识培训,提高安全防范意识,避免工作中的不安全的操作,减少安全事件发生的概率;

3、对局域网内所有服务器包括PC终端部署安装防毒软件、防火墙等,并及时升级病毒库、防火墙策略、更新系统补丁;

4、对单位内服务器和所有终端进行全面的安全评估和加固,增强系统的安全性;

5、在服务器和客户端之间进行文件拷贝时利用专门的存储设备,防止交叉重复感染。

网络规划建议:

1、对管内系统部署桌面终端软件,实现内网可控管理;
2、划分DMZ区,对重要服务器群进行隔离和访问控制,以达到保护重要资产和信息的目的。