jxbxp

写在前面的话：
     下面是我今天遇到的一个及其少见的问题及处理的过程，我写出来是和大家共勉，如果有不对的请指出，本人不欢迎谩骂者。如果有转发本帖子的请申明出处（本帖子仅本人以JXBXP的名义在讯闪和易速的论坛同发），以前发过几个帖子，被转载到网上后，很多论坛网友过来骂我抄袭，这种心情很郁闷的。
      首先回复大家常说的一句话：是吗？怎么我有多少多少网吧怎么没中啊？并带一种藐视的眼光和神态来问我，我先需要说的是，我们公司大大小小近100家网吧客户，也就这一家中了。 没中并不代表以后不中，病毒进步的太快了，中了也不是什么丢人的事。
      虽然以下我说的是无盘，但如果这种BIOS病毒一旦成为事实的话，有盘无盘将无一幸免，因为以目前的防御方法，基本和这个病毒风马不相干的？
      如果确实是的，那就可怕了，今天遇到的应该是测试的雏形。该形式已经推翻了现有的所有防御方法：下面是我今天事件遇到和解决的过程：

      今天到公司，业务过来话，说昨天半夜3点多（应该叫前天了），有个客户打了个电话给他，说网吧出问题了，让今天去一趟，处理完一些手上的事就去了，到那里是近中午的时候，似乎没什么问题，我就问了昨天的情形，原来是江西这边现在迫推网盾，昨天中午
网盾的代理商到那里安装了服务端和客户端，当时貌似没什么问题，但到了晚上3点钟问题开始爆发，表现为开始是间歇性断网，到后面干脆就是全线断网，咨询电信，回复一切正常，但始终无法开网页，后来是到了早上8点左右，他们网管发现每个服务器（共六
个服务器，配置随后说）及下面所有工作站的时间都到了2000年，把服务器的时间调回后，就正常了（据说是如此，但我想不明白掉线和无盘服务器时间有什么因果关系）。
在那里呆了一会，问题开始渐渐出现，很多网页出现开不了，问题的出现呈递增试的迅速蔓延，开始是网页很难打开，而且无论网页怎么设置，首页都是百度的地震哀悼页面，也就是 http://d.baidu.com ,需要说明的是，我们这里用的是EP2007，即PUBWIN2007和
网盾的结合版，服务端是可以绑定首页的。然后出现很多游戏打开不了，闪一下就关闭，开不了的游戏有：QQ游戏，联众，QQ类游戏，传奇，可以开的游戏是：天龙八步，诛仙。还有更可怕的是，多数刚刚启动完后的机器，会有不同的症状，比如机器刚刚启动完毕，有机器的网页就始终开不了，但有些机器可以开，同一游戏，有些机器不能启动有些机器可以。各位注意，我现在说的是无盘，这种情况在无盘里几乎是不可能的！说到这里，我描述一下我的客户的机器配置：

共216台机器，使用4个SAS服务器拖带

服务器的配置是：华硕DSBV-DX/SAS主板，3个73G SAS 硬盘，3个146G SAS硬盘，4G FBDIMM 内存，至强5405 四核CPU

一台电影服务器，一台收费机器（带装EP2007），配置都是INTEL的主板加双核的CPU
工作站主要配置：富士康945G7MA-S2，内存1G，8600GT显卡，无盘，主板集成8168千兆网卡

网络：全千兆网络，中心交换机为带网管主交，背板高达72G

即使是如此的配置，在当时网吧仅有50%的满座率的时候，网络呈现异常的卡，但PING路由和DNS，除偶尔的峰值出现，基本正常（晕了），各位要知道， 无盘对网络非常的敏感，理论此时的网络应该延时非常大才对，但各种测试数据并不突出，包括各个服务器的
流量测试，服务器的系统资源消耗测试，服务器的连接数测试，服务器的内存消耗监控，服务器的CPU监控等等，都没有太大的异常！

处理的过程：
我的第一反应是察看所有有盘机器的进程，和查杀有盘是否有病毒，杀了一通后，没有问题。然后决定把所有机器断电包各个服务器，要知道，这是无盘，病毒是无法实现真正意义上的穿透的，全局断电启动后，无效，缓和近半小时后，情况依旧，找了台工作站机
器做了个装了杀毒的包进行监控，开始用的麦卡非，居然没反应，无奈，再装了卡吧，再去开网页，监控到问题了，不开网页没问题，一开网页，首先报告SYSTEM32目录下出现 .exe 病毒，然后就是IE临时文件出现 8888[1].exe等病毒，查全盘所有文件，没有一个
病毒！NATSTAT -A 查看端口没有异常连接（快要晕死了），换系统，用有盘的所有安全策略去对付，上传完进系统测试，无效！（所谓的有盘安全策略就是封端口，封网站，封IP，ROS做ARP及DDOS策略，补丁打其，C盘压缩等等物所能及之事），不管怎么做，总之就是无效再无效（因为这个和好测试，在当时环境下，进系统就知道，2分钟内必定出问题，这使我想起了冲击波）
        折腾了一天，到晚上8点多，还没解决，这个时候本来网吧应该是满机的时候，现在也就30%上级率，这群也算铁杆的网吧支持者了。在吃饭的时候，突然灵光闪了下，我想起了传说中的五代狗BIOS狗，阵阵冷汗直冒。这个时候，没有别的选择了，决定全网吧停机，叫了帮手过来，做了如下处理，到半小时前危机解除：
到官方下了个该板子的BIOS，用TFTP32及其带的编辑器做了个IMG引导文件，进行全局刷BIOS，还好这是无盘，本来就带引导，瞬间就刷完了所有BIOS，完后，全局断电一次，然后，在中心交换机上做VLAN，除几个服务器做公共口，其他的接口都单独划出，也就是让交换机和交换机之间隔绝联系，这样即使中毒也就只中一个交换机器了，系统做过全新的上传到服务器，每个服务器系统做过，包括收费机和电影服务器目前危机总算解除，该小松一口起了。明天要做的事就是要到厂家申请有BIOS禁写的BIOS了.

这就是我处理这个事情的过程，说出来和大家共享一下，有不足之处请指出

[ 本帖最后由 jxbxp 于 2008-7-3 04:19 编辑 ]

jxbxp

简单补充一下BIOS病毒加载过程：
主机启动 > 自检 > 通过BIOS模块代码加载到内存（二进制）> 进入系统后，通过特定条件激活，然后执行代码，此代码可以对IE有操作权限

take2

强贴留名。
希望易速的工作人员也说说看法。

穿BIOS的话，看来什么在WINDOWS下运行的还原软件都玩完了，除非主板本身有BIOS的写保护或BIOS自身带有还原功能，记得以前21ST还原精灵是有这个功能的。

到时候或者网吧每台机都要装上杀毒软件？即使有杀毒软件，也无法防止人为的攻击行为。

又或者，不给顾客超级管理员的权限，用users或powerusers?

总之是头疼。

a8194959

哎,别提了我也是江西的网吧,在装这个PUBWIN2007和网盾结合版,毛病是一大堆,没装钱一切正常,装后劲舞团就是登陆有问题,可卸了PUBWIN2007就能运行游戏了

bigcabbage

有几点非常值得怀疑，
1，不论是不是基于BIOS的病毒，封IP的方法是绝对有效的，连网页都打不开何来中毒？
2，你把时间调回之后又出现同样症状时，当时BIOS时间是否又被改回呢？
3，从你所说的，一部分游戏能打开一部分不能打开，所能打开的那一部分是不是不用到DNS解析呢？
4，网盾应该和过滤王是同样性质的软件吧，我遇到过过滤王出现问题时，一部分游戏不能打开，但网络是通畅的！
5，如果真是写BIOS的机器狗的话，那么从你所说的过程上讲应该是：
客户机浏览有狗的网站-----中毒-----写BIOS------重启------主机启动------自检------ 通过BIOS模块代码加载到内存（二进制）> 进入系统后，通过特定条件激活，然后执行代码，此代码可以对IE有操作权限
这样的话，你可以打开E盾做辅助，禁止修改其他进程内存项打开，看有何提示，对IE和IE所加载的模块文件进行文件校验，什么文件做了更改！


由于咱们目前没有碰到过这样的病毒，无法进行测试！只能你们碰到过的朋友一起进行探讨和测试了！

但愿不是BIOS病毒！如果是BIOS病毒，应该不是机器狗的作品！

fanye125

lz

fanye125

LZ貌似是朝辉得人？

zepto

天下机器全都中毒中毒吧，然后所有人都去网吧上网上网吧！

jxbxp

引用:

原帖由 bigcabbage 于 2008-7-3 13:59 发表
有几点非常值得怀疑，
1，不论是不是基于BIOS的病毒，封IP的方法是绝对有效的，连网页都打不开何来中毒？
2，你把时间调回之后又出现同样症状时，当时BIOS时间是否又被改回呢？
3，从你所说的，一部分游戏能打开一部分不能打开，所能打开的那一部分是不是不用到DNS解析呢？
4，网盾应该和过滤王是同样性质的软件吧，我遇到过过滤王出现问题时，一部分游戏不能打开，但网络是通畅的！
5，如果真是写BIOS的机器狗的话，那么从你所说的过程上讲应该是：
客户机浏览有狗的网站-----中毒-----写BIOS------重启------主机启动------自检------ 通过BIOS模块代码加载到内存（二进制）> 进入系统后，通过特定条件激活，然后执行代码，此代码可以对IE有操作权限
这样的话，你可以打开E盾做辅助，禁止修改其他进程内存项打开，看有何提示，对IE和IE所加载的模块文件进行文件校验，什么文件做了更改！
由于咱们目前没有碰到过这样的病毒，无法进行测试！只能你们碰到过的朋友一起进行探讨和测试了！
但愿不是BIOS病毒！如果是BIOS病毒，应该不是机器狗的作品！

很高兴终于碰到了讨论问题的兄弟了,
第一个问题:封IP,不知道是通过什么方法下下来的,只能通过对工作站的IE历史记录和ROS记录来查,对可疑的IP进行封锁,调试了半天没有效果

第二个问题:时间调回来后,就不会有问题了,这点和CIH病毒很相似,应该是在预定时间的时候进行修改的.其他时间并不会去动主机bios.这点从网吧老板所说上午8点的时候把服务器时间改回后连网就正常了(虽然我不明白为什么会这样,因为他们那里是通过ROS路由上的没有用服务器代理)这点来说,我后来去看了服务器时间是正常的.其他工作站时间改回后也没再变化了

第三个问题:请注意我说的前提,是无盘工作站刚刚启动完毕,这个时候所以设置\状态都是初始的,但有些机器能开网页不能开游戏(游戏一下就闪没了,我亲自测试了QQ游戏,能到登陆界面输入完密码后点登陆,登陆框就消失了,游戏退出),有些机器不能开网页(退出前会报告个什么NSSES,然后所有网页关闭)的机器不能登陆的游戏

第四个问题:负责全省安装网盾的技术员当时和我同时在场(硬是被老板叫来的都晚上),我才疏学浅,他们天天装总不会有错误吧.而且这是无盘,理论上是不可能出现这些可以那些不可以的.机器出现问题应该是一样的,不可能在刚启动完后A机出先A问题B机出现B问题的

谢谢你的提醒,我以后会用E盾试一下的,不过昨天按我的思路做过后,貌似问题确实被解决了.

有一点我还想说一下:此事确实真实,我不可能吃饱了没事晚上4点多钟跑到论坛来写这么一篇东西的

至于是否是BIOS狗,还有待以后的考证,至少我以对待BIOS狗的方式解决了问题.遗憾的是主板没有禁刷设置

[ 本帖最后由 jxbxp 于 2008-7-3 17:18 编辑 ]

pxue

和楼主一样 我的是有盘 表现为系统启动到蓝色背景不动  （就是显示windows正在启动的那个画面） 换pxe引导pe  也卡死在正在注册组件  u盘引导pe一样  dos正常  恢复系统 重做系统都最后卡死在windows正在启动那  bios载入默认 也不起作用  拔掉电池重上就好了 没弄明白怎么回事  已经出现2台

bigcabbage

引用:

原帖由 pxue 于 2008-7-3 20:11 发表
和楼主一样 我的是有盘 表现为系统启动到蓝色背景不动  （就是显示windows正在启动的那个画面） 换pxe引导pe  也卡死在正在注册组件  u盘引导pe一样  dos正常  恢复系统 重做系统都最后卡死在windows正在启动那  bio ...

我也遇到过一次BIOS问题，但没有对操作系统造成影响！

表现出现的现象是开机无法自检，用CMOS跳线，也无法开机自检，必须拔掉电源，去掉CMOS电池才能开机，也能正常进入系统，具体造成原因我也无法查清！也许是新型BIOS病毒的前瞻！

bigcabbage

我没有怀疑你所说的事是假的！

第一个问题，可以用抓包的方式进行判断！
第二个问题，ROS路由的时间没有被改说明病毒对LINUX无效。
第三个问题，你所说的，A机出现A情况，B机出现B情况，如果都是中了BIOS病毒的话，那么A机和B机应该出现的情况是一样的！
第四个问题，我觉得你的问题解决了应该是你在中心交换机上使用VLAN解决的，不知你们可有机会证实一下，如果有的话，希望兄弟不要吝啬，给个回复！

其实现在网吧在主板BIOS这方面真的应该采取禁写和禁止修改参数设置！一些捣蛋的家伙真的很让人讨厌！

mfkdh

现在的主板不是有一项禁止更新BIOS的？也就是你要更新你主板的BIOS就要以COMS里开开那项才可以刷主板BIOS。我以前刷BIOS时都是这样的如果没开那一项。就是你刷了也会还原的
不过我是个菜鸟。哈。。有什么错误的请指示一下哈。。

fan2800

提个疑问，
1  你说无盘服务器的时间也被改变了，服务器正常运行时，无人去动，时间怎么会变了， 难道你的系统补丁没打全，被病毒利用了？
2 无盘服务器能上网吗？在中毒之前，有没有网管在无盘服务器上上过网，特别是打开网页。
3 你的网吧做过ARP绑定吗 ？ 我指的是双向绑定，客户机绑定路由的，路由分别绑定每台客户机的， 并关闭路由的ARP广播功能。

我觉得你这个问题产生的原因，先不说是什么病毒，先说下，病毒是怎么进来的，并且在短时间内爆发，且在你做过一番处理后，病毒又迅速爆发了
1  是你的无盘服务器中毒了，客户机加载虚拟磁盘后，运行带毒的程序肯定会被感染
2 你中了ARP劫持病毒，并不是简单的ARP攻击性病毒，网内有中这个病毒的，只要网内其他机器通过IE或者其他软件访问网络时都会被感染，这也就解释了，为什么无盘服务器没有动过，补丁也打全了，依然会中病毒的原因，可能是你的无盘服务器访问网络了。
3 游戏不能运行与时间的确有关系， 偶中过机器狗后，把时间改成2000年，有的改成了 1900年了，QQ登陆时无问题，打开聊天对话框时，就报错，有时聊天正常，开视频时就报错。


我觉得真正把问题解决了，是你的无盘服务器从新做后并划分了VLAN，隔离了中毒的机器。另外你把所有的机器全部重起了，又是无盘这时，网络肯定是没有病毒了。
其实早在找问题时，先把整个网络重起下 ，看问题是否会再次出现。

[ 本帖最后由 fan2800 于 2008-7-5 15:56 编辑 ]

wmysbbs

怕怕，我还没遇到过，我也是网众无盘的

li810138

第六代掌门人又将?