网管经验谈：内网病毒缉拿记

　　三，排查故障——筛选目标：（如图1）

　　图1

　　为了更好的了解和解决网络问题，笔者亲自到该分支机构去检测。检测发现当访问10.82.0.3邮件办公系统时可以出现正常的访问登录界面，不过在输入用户名和密码时要嘛“登录”按钮不能用，要嘛干脆登录进入后直接出现一行名为“office.nsf/pgnavigator?openpage>http/1.1 200 ok content-length:4742 content-type:text/html”报错的提示，而且和往常登录界面不同的是在办公主页下方出现了一行“input”的小字。之后笔者更换了浏览器为火狐以及腾讯的TT浏览器故障依旧，看来并不是本机IE浏览器插件的问题。而且笔者还得到了一个新的消息，那就是前几天更更恢复完系统解决问题的那个员工计算机又出现了同样的症状，无法顺利访问这两台服务器。

　　通过检测的种种现象来看，首先服务器自身的问题可以排除，毕竟其他分支机构以及笔者都可以顺利访问，而且该机构下的某些机器也可以顺利登录信息平台和邮件系统。另外当把系统恢复到以前或者重新安装后问题也可以解决，这说明故障确实出现在本机。排除了服务器，网络设备后笔者将关注的目标放到了本机上。

　　四，高级检测——确定目标：

　　平时这个分支机构的计算机都是由笔者和几个同伴一起负责维护，按照常理来说安全防范级别应该比较高，系统自动更新补丁都随时安装，杀毒软件也使用的是卡巴斯基，那么为什么还会在本机出现故障呢？笔者再次检测发现出问题的几台计算机的卡巴斯基并没有升级到最新病毒库，于是手工升级，并在安全模式下全面查杀本地硬盘各个分区，确保无毒后再次访问办公系统，结果令人遗憾的是故障依旧。不过每当访问这两个服务器应用服务时卡巴斯基都给出了发现危机的提示——malcious http object <http://ck1.in/n.js>:access denied。这说明在访问服务器时页面要求自动跳转到http://ck1.in/n.js这个地址，而该地址被卡巴斯基过滤禁止访问了。笔者测试了所有出问题的机器都在访问服务器时卡巴斯基给出警报提示。（如图2）