某医院网络安全事件

CUSTOMERSERVICECENTER客户服务中心某医院网络安全事件一、起因网络服务器遭受攻击，频繁的生成计划任务，并且生成病毒文件。导致服务器频繁死机，医院内的各类应用都无法运行。给客户带来严重的影响。此时杀毒软件已升级到最新版本，也查杀出来病毒，但反复查杀反复出现。而且局域网内的大量计算机都感染了此类病毒，怀疑是局域网的病毒攻击。二、现场分析根据工程师现场对服务器的现状进行分析，然后结合抓包工具对服务器端口的监听，发现中毒机器在反复的连接其它电脑的139及445端口，如图：通过抓包分析后，查出了病毒程序的源头，通过netstat–ano命令找出对应的进程名称，如图：1CUSTOMERSERVICECENTER客户服务中心对应的进程PID与上图的PID查询，主要是针对139及445端口的连接，如下图：三、定位程序根据以上分析，找出了对应的病毒程序，通过属性定位确定是可疑病毒程序，如图：23CUSTOMERSERVICECENTER客户服务中心将找到的可疑程序清除后，安装微软的MS08-067漏洞补丁程序，防止通过此漏洞再次进行攻击。四、监测观察将病毒清理后，局域网内未发现连接其它电脑的139及445端口的情况，然后检查计划任务也没有再次生成新的任务，网络恢复正常。瑞星企业服务部2009年12月8日