51CTO企业病毒管理系列沙龙第一场直播实录(10)

http://netsecurity.51cto.com 2006-09-01 14:39 51CTO.com 我要评论(0)

摘要：为了帮助更多的技术人员了解企业病毒知识，提高防病毒技能，国内最大的IT网络技术网站51CTO.COM特推出病毒管理系列技术沙龙，致力于促进企业安全管理人员的技术交流。本次系列沙龙将分三次进行，第一场活动的主题是：“从国际顶尖安全企业的防毒体系学习企业病毒管理”。
标签：企业病毒管理系列沙龙

主持人: 大家已经提了很多问题，我们请下一位嘉宾，一会儿三位嘉宾会一起上来给大家解答问题的。下面请用户代表空中网的田逸先生给大家做防病毒的基础知识介绍。
田逸: 说起病毒这个问题，我已经有很久没有关注了。昨天下午突然就遭遇了这样的问题，但是我不管这个事情。12点开始我们整个网络时断时续，后果就是某人被处理，被罚款。后来经过同事的排查，有一个机器没有更新补丁，我们在线的用户还是比较多的，我虽然是干网络的，但是只管我自己的台式机。后来我们的同事就去排查，在交换机上抓包，认为是做地图转换的，通过技术手段抓了一些包，发现是这个人干的，这个人做了检讨，老总说不行，要处理。导致昨天和今天基本上上网不行，收邮件都收不到。
田逸: 今天既然来了，也和大家聊聊病毒的问题，我以前是怎么干的。说安全的问题，我个人认为只是我们做网络管理或者系统网站也好，只是其中的一个问题，能够让我们活着，好好的活着，偶然会生病。我也干过很长一段时间，前几天我被一些问题困扰着，我有一些做法，我觉得还是有可行之处的。
田逸: 我当时把网络有主次之分。网络什么是重要的，什么是次要的，先要分清楚。比如说服务器，邮件服务器和网络本身是很重要的，比如说最高领导人也是很重要的，我们把主次分清楚。我每天早上去上班，就看看防火墙的会话数，有一些IP地址的会话连接有好几百个，那个就是中毒了。
田逸: 我经常会告诉用户说你们要主动一点。这个什么意思呢？就是他们没有打补丁的习惯，有人建议说安装一个服务器自动补丁机，但是在很多的地方行不通，你如果让用户自己去打就比较合适，要去教育他，你看你不搞出了事故影响了大家。
田逸: 总体来说，搞一个立体防护的东西。这几天，我的QQ群里老有人不停的问，我又中木马了，又中病毒了，这几天问得问题特别多。大家有什么困扰？
现场提问：杀了还有。
田逸: 因为已经中毒了，杀毒软件杀不了了，几个进程打架，杀毒软件在干它，它也在干你。我就进安全模式。我到系统目录中去看，看那个文件不顺眼，我不能判断这个文件是否是真正有害的，我把它改个名，如果是exe或者是其他的文件，我就把它改名看它是不是真起来了。要对系统很熟，最后一招就是人自己手动杀毒。
现场提问：杀毒不是问题，杀毒很简单，关键是杀毒之后机器反复在感染。
主持人: 下面请几位专家一起来，我们把现场的问题和网上的问题一起来解答一下。
田逸: 你讲的问题是根本就没有杀掉，没有找到感染的文件是什么东西，你找到了起不来了，你把注册表清了。问题的根源是没有找到，他隐藏得很好，在一些目录下也可以生成很多乱七八糟的东西，在本地设置里面都有这样的情况，都要把这些文件清了。
陆亚灵: 我觉得基本上重复感染这个东西这样来看。首先要看是什么样的病毒，可能是木马重复感染，可能是蠕虫重复感染。处理不太一样。
陆亚灵: 木马重复感染一个是可能没有清干净，还有就是当前机器上的病毒软件可以防住的，如果防不住要升级一下病毒库，如果升了也会报警，那就有问题，这个是通过什么感染的，是内部网络传播还是上Internet down下来的，如果一个机器老中病毒要分析后台的原因是什么，很大部分是用户的使用习惯的问题，这个非常多。其实就像我说的，用户中了病毒跑来向你投诉说电脑不好用，有时候可以反问他为什么你老中毒呢？有时候可能是不好的习惯导致的。
主持人: 我们来集中解答一下网上网友的问题，现场如果有问题穿插加进来一些。如果几位专家认为在座的朋友提的问题特别好，我们这边有礼品可以送出。刚进门的时候大家都会拿到用户反馈表，请您填写一下，活动结束我们会根据反馈表进行抽奖。下面先念一下网友的问题。
现场网友：大概500个客户端的公司需要什么样的防病毒软件，应该部署什么样的防病毒软件？
陆亚灵: 这个问题我老是碰到，所以迫不急待的讲一下。基本上常规的就是理论上讲的那些，最常规的是网络版的防病毒软件，我们强烈建议在邮件服务器上实施防病毒软件，我们建议在邮件网关和游戏网关上部署，其实500个用户还好，普普通通，如果超过2000以上，我就建议你上集中管理的系统。
网友：除了病毒以外，陆先生对逻辑炸弹怎么办？潜伏性强破坏性大，有什么办法处理？
陆亚灵: 这个不是新东西了，很多年前就有。手法和方法很成熟，google一下就解决了。
网友：出现恶意广告网页怎么删除？
陆亚灵: 也是成熟的东西，第三方的东西出了很多很多，要找到真实可靠有用管用的要去google，看兄弟们的评价好不好。
李贺: 刚才说的广告软件我也经常遇到，有一个处理措施。我曾经用过这种方式，装了一个雅虎，这也是一个很难卸掉的插件，把其他的卸掉，然后在卸它，可能就比较方便。
主持人: 这也是个办法，以毒攻毒。
网友：防毒也好、杀毒也好用了很多的产品，麻烦依然很多，专家有什么办法？
网友：可以具体到装什么杀毒软件，对企业来说是少掏钱是最好的，可以给一个解决方案。
网友：现在很多公司用的是无线，员工可以手机上网，手机病毒正在开始流行吗？应该如何管理？
陆亚灵: 这里有三个问题，一个是手机病毒，一个是用什么防病毒软件价廉物美，还有如何从繁重的工作中解脱出来，首先是手机防毒，这个目前也是慢慢多起来，现在也不例外，现在苹果机上的病毒已经有了，这个没有什么，只要找到合适的解决方案就好了。
陆亚灵: 用什么防病毒软件是价廉物美的，可以参考李工的建议，从各个角度分析，参考兄弟行业的经验和同事的经验，还有一个就是如何从繁重的工作中解脱出来？你要从根本思路上改变这个想法。不要认为装了软件，用了产品，花的钱就解决了。就像我刚才的PPT，你有没有从上面解决问题，有没有核心的指挥层帮助你做这个东西，如果老板不支持你，你的工作是事倍功半的问题，你要做到事半功倍，作为一个IT管理员和主管不是一个纯粹的技术工作者，你要考虑怎么把这个东西管起来，管理和技术是要相结合的，不要纯粹依靠技术来管理所有的安全问题，这是做不到的。