2005年3月22中午1点30分到底客户机房,基本情况是一台双机容错服务器不断重新启动,防病毒软件提示是w32.sasser,使用专杀工具清除病毒并打上该病毒利用的漏洞补丁后,机器恢复正常。但是网络还未恢复。
首先查看norton企业版系统控制中心,查看历史记录,发现不少机器都被注入病毒文件。后检查网络交换机状态,发现交换机全部满负荷运作,网络处于瘫痪状态。于是利用最原始的拔线排查方法查出源头。首先排查的是远方办公地的连接线路。当将光纤线路的接入口拔除后,交换机恢复正常状态,再次接入,交换机又满负荷运作。于是断定问题源在另外的办公地点。电话联系公司派人去那边处理。这边暂时停止与那边网络的互联。讨论完事后工作后立刻赶往病毒源所在地。
同事已经通过防火墙实时日志锁定了部分问题机器。但因机器众多,等处理完这些机器,网络估计要瘫痪一段时间,对客户的影响是很大的。于是决定在三层交换机将有问题的交换机接入先断掉,保证网络的运行。通过观察交换机状态,拔除了两台交换机。网络恢复正常。两边也可以正常互通了。
经过查验,发现出问题的机器大部分是新装机器,客户没在第一时间安装打上足够补丁和防病毒软件造成计算机染毒,从而影响网络运行。