與病毒的博弈

筆者所在單位是一家中型集團化公司，旗下有多家分公司遍布全國，集團采用業務系統管理旗下眾多公司及相關業務，公司業務的日常運營完全依賴這些系統，因此系統的穩定與否是非常重要的。

問題出現

圖1 殺毒軟件提示結果

近期單位運營部門業務的服務器頻頻出現宕機事件，具體現象是服務器經常性的死機或者藍屏，導致公司業務頻頻中斷，因為該服務器是托管在IDC機房里面，開始筆者以為是服務器硬件或網絡故障問題，但通過簡單的遠程觀察沒有發現問題，請機房工程師協助重啟后但問題依舊。筆者又懷疑會不會是業務系統軟件問題，因為正值月末業務高峰期，系統應用人員眾多，是否因服務負荷過大導致了服務器的宕機呢，筆者為此聯系了業務系統工程師協助查看，但通過工程師的檢查，業務系統的設置及狀態管理也都處于合理狀態，按目前服務器配置及用戶訪問量，應該是沒有問題的。

剿滅病毒的處理過程

問題重又歸到了筆者這邊，筆者感覺有些棘手了，若是重裝系統或許能夠解決問題，但需要對服務器里面的業務數據做好遷移及處理，這樣影響會非常大，且已到了月末的業務高峰期，全國的用戶都在訪問這些系統，因此每一步措施都需要非常慎重，萬一重裝系統也解決不了問題，耽誤了業務運營，那就麻煩大了。因此筆者認為還是先想想其他辦法，抓緊來到機房仔細觀察系統狀態，通過觀察筆者發現了問題，因為系統CPU的利用率居然時而高達100%，且有幾個陌生進程占據了CPU的大部分資源，難道是中了病毒，仿佛是漆黑的夜里看到了一絲亮光，筆者若有所思，可是該服務器是裝過正版殺毒軟件的，怎么又會遭到病毒攻擊呢；想到這里，筆者急忙打開殺毒軟件觀察，果然發現了該殺毒軟件提示的很多安全威脅，如圖1所示。

至此，服務器中了病毒看來是確鑿無疑了，利用現有殺毒軟件反復掃描，卻始終無法徹底剿滅病毒，難道該殺毒軟件已無力阻止這些病毒侵入了，筆者只得又安裝了另一款安全軟件協助防守，通過兩套安全軟件相互配合、反復查殺，終于剿滅了服務器所中的病毒，服務器的資源利用率也降到了正常范圍內，為了防止病毒的死灰復燃，筆者采用了如下手段:

圖2 防火墻高級設置

1.首先是升級安裝服務器系統的重要更新補丁，筆者發現因為之前放松警惕，服務器的補丁已許久沒有更新了，及時通過補丁更新來對系統進行加固，這是安全防守的基礎，尤其是本年度造成重大影響，如“永恒之藍”勒索病毒及變種等的幾個重要補丁必須更新。

2.立即阻止服務器的135、139和 445等 幾 個 主要端口，以此來抑制病毒的傳播，具體做法如下：以WIN2008 server為 例，在控制面板中，防火墻的高級設置里面，點擊新建規則，選擇“特定本地端口”，輸入135,137,138,139,445，選擇“阻止連接”即可，如圖2所示。

3.在原有安全防護軟件的基礎上，本次筆者又安裝了360殺毒軟件也是非常重要的一步，兩套防護軟件相互配合，取長補短，最終對病毒徹底根除。

收獲與總結

通過上述處理，筆者思考及做了總結，主要如下：

從理論上講，系統內最好只安裝一套殺毒軟件，否則容易多占用資源或引起系統兼容性問題，筆者之前也這么認為，但本次筆者在服務器內安裝了兩套殺毒軟件后，發現并沒有引起上述問題，且兩套殺毒軟件相互配合、相得益彰，最終順利將病毒徹底剿滅，效果非常不錯；

安全盡管是個老生常談的問題，但平穩久了還是容易讓人產生懈怠，給黑客、病毒以可乘之機，本例就是這樣，通過本次病毒危機后，我們反思自己，重新加強了安全管理，嚴格制度及大家的上網行為，技術上及時更新系統及安全軟件的補丁，規范服務器定期更新操作及數據安全備份機制，以應對不測。通過上述處理，系統安全得到提升，但安全與威脅從來就是矛盾的存在著，需要我們時時警惕，防微杜漸，這樣的安全才能更持久。