都是DMZ惹的祸

        前两天，一大早刚到公司就接到老大的电话，说得赶到一客户那边看看，客户那边中毒很严重，已经有一天没有办法正常办公了，我马上带好工具光盘， 我们的杀毒试用光盘和U盘赶到客户处。

       去到客户那边找到相关负责人，大致了解了一下相关情况，得知该公司网络基本已经瘫痪，几乎每台电脑都有病毒，ARP攻击无处不在，中毒严重的服务器连打开网卡查看IP都变成了“不可用”，上不了网，所有的应用都用不了，具体是什么病毒还不好下定论。登陆上他们的服务器一看，里面什么样的病毒都有，一个个清理也太不现实了，给他们安装网络版杀毒软件(以前是用单机版瑞星)，不过病毒已经做好防护，杀毒软件都安装不成功，只好先建议客户把服务器系统重做，客户端先给他们安装防病毒客户端了。

        过了一两个小时后，服务器系统终于做好了，接下来就是安装杀毒软件与给系统打补丁，一切按平常的做法，等这一切做好并把防病毒软件升级到最新版，给下面客户机都杀掉病毒并安装ARP防火墙后，觉得都没有什么大问题就回公司了。

        哪知第二天，客户又打电话过来说，服务器又中毒了，跟以前的状况一模一样，我又得赶过去了，查看服务器情况，不知从哪多出了几个匿名帐户，还有很多病毒，一大堆黑客软件，奇怪了，这服器还能正常用，只是流量比平常高出很多，他们的应用早就停掉了，估计是给黑客攻击了。这下就麻烦了，小公司中黑客的机会真的是很小，没有办法，只好做安全防护防黑了，打电话回公司给客户申请一台UTM试用一下，但是效果不明显，我没有改变他们的网络结构做透明模式，一直杀完病毒过不了多久就来了，而且跟以前一样。我没有办法，让他们用一台新服务器重新安装他们的OA让他们先用，哪知刚改回以前服务器IP，过没有多久又被攻击了，这下就觉得不可思议了，这可是台新机器的。

        这下觉得事情比我们想像的严重得多了，跟同事和客户技术人员商量，准备按步骤一步一步找出问题的所在，看是哪个环节出了问题，是内部机器黑客中下了后门还是他们OA软件的漏洞，还是花生壳的问题。接下来又是痛苦的服务器重装了，这个工作交给他们的技术员来做，我看看UTM的日志，突然之间又上不了网了，他们下面的员工反应，经过几天的杀毒，上网倒是可以了，只是OA还没有办法正常工作。没有办法只好重启他们的TP-LINK路由，顺便进去看了一看，突然在DMZ的地方看到了映射服务器的IP，而他们在地址映射的时候已经开放了相应的端口，这个有点重复了，心里在想会不会是这里的问题，跟客户技术人员讲了一下，把这个给关掉了，再用netstat -an查看一下，果然里面没有相关外部IP访问端口了，接下来就是一步一步做测试，看他们的OA能不能正常访问了，想不到一切都可以了。

       看来是忽略这些小问题了，困扰了几天的问题就这样解决了。