网络病毒源的排查（2005年3月22日维护记录）

    2005年3月22中午1点30分到底客户机房，基本情况是一台双机容错服务器不断重新启动，防病毒软件提示是w32.sasser，使用专杀工具清除病毒并打上该病毒利用的漏洞补丁后，机器恢复正常。但是网络还未恢复。

      首先查看norton企业版系统控制中心，查看历史记录，发现不少机器都被注入病毒文件。后检查网络交换机状态，发现交换机全部满负荷运作，网络处于瘫痪状态。于是利用最原始的拔线排查方法查出源头。首先排查的是远方办公地的连接线路。当将光纤线路的接入口拔除后，交换机恢复正常状态，再次接入，交换机又满负荷运作。于是断定问题源在另外的办公地点。电话联系公司派人去那边处理。这边暂时停止与那边网络的互联。讨论完事后工作后立刻赶往病毒源所在地。

     同事已经通过防火墙实时日志锁定了部分问题机器。但因机器众多，等处理完这些机器，网络估计要瘫痪一段时间，对客户的影响是很大的。于是决定在三层交换机将有问题的交换机接入先断掉，保证网络的运行。通过观察交换机状态，拔除了两台交换机。网络恢复正常。两边也可以正常互通了。

    经过查验，发现出问题的机器大部分是新装机器，客户没在第一时间安装打上足够补丁和防病毒软件造成计算机染毒，从而影响网络运行。