|
初生襁褓狮
|
发表于:
2007-01-28 21:30
|
只看楼主
短消息
资料
一天一夜大战熊猫烧香(经验,教训,分享)
网上已经被熊猫烧香这病毒吵的翻了天了!
当时我还正在为把威金病毒给扑杀而感到骄傲
本来我院的系统在我的管理下已经比较的规范了,与internet的连接只有三处,其中还有一处就是只允许上qq,另外两处是在自己的鼻子底下.主机安装了瑞星的正版杀毒软件,其他的两台分别装了卡巴斯基软件,另外内联网的机子可以 通过主机网关代理上网,内联网基本不做保护(很大意),administrator用户基本为空密码(主要也是偷懒),一部分机子装了一键还原系统.
昨天晚上上网一时兴起将瑞星来了一个全盘扫描,突然发现有报中了熊猫烧香,吃了一惊,但是看提示是被瑞星给扑灭了(只报中了一个),全盘扫描后也没有多在意.
回去用自己的手提通过网关代理上网,后来突然第六感不对,觉得还是要引起重视,使用netstat -an命令查看与本机的联系的机子,发现有一内网机子试图与本机的445,和139端口进连接,心想不妙,我的手提又没有访问过该机怎么可能有联系的痕迹了,于是将局域网管理器打开确定了该机的物理位置,然后前去该处检查是否中了病毒,一查吓了一跳,发现了许多的熊猫再跳舞,气的该死.马上下了瑞星的专杀,效果不明显,用使用江民的专杀倒是杀到了一些,以为应该是可以了吧,然后将除了网络客户端和tcpip协议以外的服务协议都停掉并且禁止了netbios的连接将administrtor的密码设上,将user的权限改小(这可是几十台机子啊,星期天都没有休息),后来在专杀的同时发现自己的杀毒u盘上感染的,还没有杀掉.于是又下了金山的专杀工具,发现确实有效果将病毒全部杀掉了(目之所见),最后我将数据库服务器的超级用户改成数字字母的组合,还有些机子由于休假没有人没有进行查杀,不知道明天效果如何,不过我发现了一些问题:熊猫不感染98系统,如果只开启tcpip协议,也不感染.不知道你们看到的特征是怎么样?
希望和大家讨论
 2007-01-28 22:24:44
|
