一、概述
该单位因涉密要求,共存在三组办公网络,三组办公网络分别部署瑞星网络版产品。其中两套产品存在上级中心,并通过上级中心升级。一套产品只供本单位使用,通过瑞星公司邮寄的升级光盘进行升级。每套瑞星产品均有专人负责管理。对瑞星产品运行情况和病毒日志信息比较敏感,力求最大限度的发挥杀毒软件的功能,降低涉密网络的安全风险。但近期该单位内部网络内爆发病毒,多台服务器和客户端感染奔牛病毒。其中双机热备的两台服务器最为严重,约每2个小时宕掉一次,导致内部网站和文件服务器系统不能正常使用。
二、网络状况
该单位网络拓扑图如下:
由于内网计算机较多,导致瑞星升级服务器压力较大,通过控制台查看,个别客户端和服务器端未升级到最新版,且和中心版本差距较大,此部分客户端存在较大安全隐患。与客户沟通了解到,虽然规则严格控制使用u盘和光盘等移动介质,但仍有人私自使用光盘等移动介质。从而为病毒传播创造条件。
三、紧急响应
5月中旬,该单位内网爆发严重病毒问题,双机热备服务器染毒严重,计算机运行十分缓慢,每2个小时宕机一次。导致内部网站和文件服务器系统不能正常使用。据相关员工介绍,客户端可通过内部网站上传附件,虽然坚持杀毒计划,但双机热备服务器上瑞星版本较低,导致没有发现此奔牛病毒。比病毒具体表现如下:
1、 各盘符下大量生成usp¬10.dll和lpk.dll文件,手动无法彻底清除。
2、 导致windows server 2003 系统本身事件日志报错。
3、 使用低版本的瑞星查杀usp¬10.dll和lpk.dll文件,未报毒。
4、 弹出大量广告网页。
接到客户的电话,在充分了解情况后,瑞星网络安全工程师对该单位进行上门服务,挑选2台染毒严重且重要的双机热备服务器端计算机进行手动处理。具体的处理流程如下:
1、检查未能升级到最新版的原因,在任务管理器中结束ravsetup.exe进程,再次通知系统中心升级,可以升级到最新版,总结升级失败原因为由于病毒耗掉系统资源,导致瑞星升级进程假死,从而造成升级异常。
2、由于客户已经使用巨盾专杀工具进行全盘扫描,并清除大量usp¬10.dll和lpk.dll文件。使用瑞星最新版查杀备份的两个病毒样本,可以查杀此病毒。
3、建议客户将主机服务移动到备机,对主机服务器进行全盘杀毒。
4、对其他存在同样问题的客户端和服务器端先解决升级问题,确保升级到最新版后,进行全盘杀毒。
5、制定周密且高级别的杀毒计划,确保网内病毒全部清除。
四、问题分析
在上门服务过程中,通过与该单位的信息管理人员沟通了解到,客户对瑞星产品的熟悉度较低,缺乏对病毒的防范和处理能力。希望能够提供一些合理的防范建议,减少染毒后的被动局面,尽量将工作做在出现问题前。在该单位信息管理人员的带领下,查看了一些客户端存在的问题,同时仔细检查了在中心指定的防毒策略。主要发现以下问题:
1、通过瑞星系统中心控制台查看,内网部分客户端出现监控红伞的问题,通过远程开启没有效果。客户表示,很多客户端还安装有其他类安全软件。从未设置过客户端密码。
2、通过瑞星系统中心控制台查看,内网部分客户端未升级到最新版。在控制台远程通知客户端立即升级没有反应。且有两台客户端的版本仍是2006版的程序。
3、通过控制台设定的杀毒计划,查杀级别使用的是默认界别,未勾选极易通过内部网站传播的脚本类病毒。
4、内网大部分客户端存在级别为高以上的安全漏洞。客户很少使用此功能,没有认识到系统漏洞造成的重大安全隐患。
5、未严格控制u盘和光盘等移动介质的使用。用户可以私自将外网下载的软件导入内网使用。
五、解决方案
1. 首先,建议客户通过瑞星系统中心控制台设置客户端密码,防止客户端人为退出实时监控,形成防御漏洞。其次,建议客户到客户端本地查看,是否安装有其他安全类软件,建议卸载其他安全类软件后,将瑞星杀毒软件网络版客户端进行修复。
2. 首先,建议客户将两台版本是2006版程序的客户端卸载,使用瑞星网站提供的最新安装包或通过系统中心制作的安装包进行安装。其次,对于未升级到最新版的客户端,到客户端本地查看,是否与系统中心客户端列表显示版本一致。如果客户端本地已是最新版本,那么原因是该客户端在系统中心的注册信息为更新过来。该客户端下次重启后就会显示正常。如果客户端确实不是最新版,通过手动通知客户端进行升级,根据报错,进行修复或升级操作。
3. 告知客户系统漏洞的重大危害,及时修补漏洞是十分重要的工作。针对客户内外网分离的网络环境,想客户讲解漏洞工具的具体使用方法。在外网环境下,可以设置自动下载补丁和自动安装补丁。在内网环境下,可以通过下载工具批量下载补丁,然后导入系统中心计算机,再进行客户端的漏洞修复工作。
4. 建议客户应该严格把控U盘的使用。最好设立中间机,实现U盘的信息过度。同时,通过策略禁止U盘自动运行。方法包括:安装微软KB971029补丁,该补丁可以限制U盘的自动运行;通过计算机组策略禁止所有盘符下autorun.inf文件的创建;通过瑞星杀毒软件的U盘防护功能防止在各个盘符下创建autorun.inf文件等方法。
5. 建议客户外网瑞星系统中心上设定客户端密码,防止用户手动退出。同时调高实时监控界别为高,加强主动防御的效果。
六、意见建议
1. 系统口令,建议使用高强度密码,至少每三个月更改一次新密码,注意不要与旧密码重复。目前很多病毒都会尝试使用的弱口令来获取系统权限,也会尝试使用本地保存的访问远程机器的账号密码去获取目标机器的管理权,定期更改密码和使用高强度密码可进一步提高局域网安全。
2. 局域网共享,建议只保留只读共享,对于共享的写入权限,针对不同用户设定不同权限和密码。
3. 漏洞修复,不论是外网还是内网,都要保证漏洞补丁的及时安装。对于外网客户端,可以开启系统本身的自动更新。对于内网用户,在系统中心将漏洞下载地址批量导出,使用下载工具进行下载,下载后,批量导入系统中心,再完成客户端的漏洞补丁安装工作。
4. U盘病毒防范,不论外网还是内网,限制U盘的自动运行,U盘插入客户端计算机后,先进行杀毒。限制U盘自动运行的方法有:安装微软KB971029补丁,该补丁可以限制U盘的自动运行;通过计算机组策略禁止所有盘符下autorun.inf文件的创建;通过瑞星杀毒软件的U盘防护功能禁止在U盘创建autorun.inf文件等方法。打开U盘可以通过更稳妥的方法:开始,运行,输入“*:”(*为U盘盘符)。尽量减少右键、双击、资源管理器等打开方式。
5. 关注日志,瑞星杀毒软件网络版的日志管理工具,可以实时反馈客户端的病毒信息。通过查看发现病毒的方式、染毒路径、染毒名称等,对病毒进行有效的防范。针对染毒路径为系统还原路径的病毒,需要关闭系统还原后进行全盘杀毒;针对处理结果为删除失败的病毒,需要进入安全模式进行全盘杀毒,如仍不能删除,需及时将文件提交给瑞星网络安全工程师分析处理。针对反复出现的病毒信息,需断网杀毒判断是通过网络传播,还是在本地难以彻底清除,并联系瑞星网络安全工程师进行分析处理。
6. 加强使用计算机的安全意识。可以通过以下方式降低感染病毒的几率:浏览可信度高的网站;下载官方软件使用;安装辅助类安全软件,防范流氓软件和恶意插件;开启系统本身的自动更新功能。插入u盘后,首先进行杀毒;设置文件夹选项,确认显示隐藏文件和文件扩展名,方便查看异常文件。
7. 订购巡检服务:每月由瑞星公司的企业服务工程师上门对网络和病毒方面的问题进行及时分析和处理,并可由企业服务部分析得出的巡检报告对局域网的下一步方案实施提供依据,消除隐患。