服务器中毒怎么办？企业数据安全需重视

互联网企业：

广义的互联网企业是指以计算机网络技术为基础，利用网络平台提供服务并因此获得收入的企业。广义的互联网企业可以分为:基础层互联网企业、服务层互联网企业、终端层互联网企业。

狭义的互联网企业是指在互联网上注册域名，建立网站，利用互联网进行各种商务活动的企业，也即为广义互联网企业中的——终端层互联网企业。然而根据这些互联网企业所提供的不同的产品和服务，可分为:网络服务提供商、互联网服务提供商、互联网内容提供商、应用服务提供商、互联网数据中心、应用基础设施提供商。

而以上无论是广义还是狭义互联网企业在业务不断发展和壮大的过程中，会累积很多珍贵的数据，这些数据的背后十分需要稳定安全的服务器做支撑。数据安全一直是企业服务器客户关注的问题之一，而服务器中毒就是会造成数据泄露、丢失的其中一个因素。

• 如何判断中毒了？

• 文件或文件夹无故消失：

　　当发现服务器中的部分文件或文件夹无缘无故消失，就可以确定服务器已经中了病毒。部分服务器病毒通过将文件或文件夹隐藏，然后伪造已隐藏的文件或文件夹并生成可执行文件，当用户点击这类带有病毒程序的伪装文件时，将直接造成病毒的运行，从而造成用户信息的泄露。

• 运行应用程序无反应：

　　部分服务器病毒采用映像劫持技术，将常用的应用程序运行路径进行更改为病毒运行目录，从而当我们试图运行正常的程序时，其实是运行了病毒程序，导致服务器病毒的启动。

• 服务器启动项含有可疑的启动项：

　　检查“系统配置实现程序”窗口，如果发现有不明的可执行目录，则可以确定自己的服务器已经中病毒啦。当然更多时候病毒程序是利用修改注册表项来添加自启动项。

• 服务器运行极度缓慢：

　　当服务器运行速度明显变得缓慢时，就及有可能是服务器中病毒所致。中病毒的服务器，通过病毒程序会在后台持续运行，并且绝大多数病毒会占有过多的CPU及内存，而且木马病毒大都会借助网络来传播用户隐私信息。

• 杀毒软件失效：

　　通过杀毒软件用于对系统进行防护，因此当杀毒软件无法正常运行进行杀毒操作时，就可以确信服务器已中病毒，此时我们需要借助网络来实行在线杀毒操作。大部分安全防护软件如360，金山卫士，QQ管家这三款比较主流的国产安全防护软件都有自主防御的防御模块，而病毒或木马最先攻击的就是安全防护软件的自主防御模块。如果您发现主动防御模块被关闭或安全防护软件直接无法启动或内存错误，很有可能是安全防护软件也招架不住这种强悍的病毒而瘫痪了

• 服务器运行异常：

　　病毒会占用过多的系统性能，以及造成文件的破坏，甚至严重影响系统的稳定性。当服务器出现无故蓝屏、运行程序异常、运行速度太慢以及出现大量可疑后台运行程序时，就要引起注意，可能服务器已经中病毒啦。

• 系统语言更改为其他语言

　　大家的计算机系统语言默认是简体中文，如果开机后发现急速阿吉系统语言被修改为其他语言，很有可能是中了恶意病毒了，可以试用安全防护软件扫描清除病毒

• 蓝屏黑屏

　　黑屏比较少见，蓝屏却比较多见了。中了莫名的恶意病毒可能在运行某个游戏或某个软件时突然计算机蓝屏，蓝屏代码可能是某条常见代码，可能是说计算机为了保护系统自动强行重启。

• 主页篡改，强行刷新或跳转网页，频繁弹广告

　　主页被篡改是早期病毒的主要攻击对象，计算机操作系统中毒后一般都会发生浏览器主页被篡改的现象，所以当年IE伴侣这款修复主页篡改的小软件挺受欢迎。如果同时伴有浏览器页面不停反复载入/刷新或无缘无故弹出广告，那么很有可能是中毒了

• 应用程序图标被篡改或空白

　　计算机桌面的程序快捷方式图标或程序目录的主exe文件的图标被篡改或为空白，那么很有可能这个软件的exe程序被病毒或木马感染。小编印象中蠕虫病毒会进行此类感染修改

• 什么方面导致的中毒？

1. 源程序漏洞

源程序漏洞的严重性;目前互联网中的网站程序都大多来自网络下载;这样建站会省去很多的时间，也很方便;公开的源代码存在一定的安全隐患;做网站的设计师不可能把所有的文件打开查看源代码是什么意思，所以就会有不少非法份子研究各个源码的漏洞，破解各个网站，然后通过这些网站来达到盈利的目的;所以就会有很多网站被置入黑链、弹出一些其它的信息或直接打不开。

1. FTP漏洞

FTP漏洞是利用FTP入侵空间，得到服务器源码，从而入侵网站的一个方式，从而控制网站。利用网站从事盈利行为的方式，在空间安全中，WEB服务器安全也是存在漏洞的，不法分子会利用服务器这些安全漏洞，达到入侵服务器的目的，然后控制整个网站，获取利益。

1. 上网行为安全

有些网站自带的一些木马病毒，当你直接不慎进入此类网站的时候，也有可能让服务器中毒。用户首先要明白的是自己租用服务器是做什么的。服务器与电脑的价值并不相同，用户需要让服务器中的数据能在24小时状态下让合格的访问者随时读取。因而用户应该保持服务器的24小時的稳定运行，所以稳定是服务器的第一要务。而如果用户认为服务器用来下载娱乐视频或者打游戏更方便，那么用户还是买一台高配置的pc机会更实惠，所以用户在使用服务器的时候要清楚自己该做什么以及不该做什么。

1. 后台口令安全

服务器托管后台密码账号建议重新设置，千万不能是初始密码，而且尽量定期更改密码。最后提醒服务器托管用户养成日常良好的维护习惯将有助于与服务器的稳定运行。

• 那么该如何处理呢？

1. 正在上网的用户，发现异常应首先马上断开连接

如果你发现IE经常询问你是否运行某些ACTIVEX控件，或是生成莫明其妙的文件、询问调试脚本什么的，一定要警惕了，你可能已经中招了。典型的上网被入侵有两种情况：

1、是浏览某些带恶意代码的网页时候被修改了浏览器的默认主页或是标题，这算是轻的；还有就是遇到可以格式化硬盘或是令你的windows不断打开窗口，直到耗尽资源死机？？这种情况恶劣得多，你未保存和已经放在硬盘上的数据都可能会受到部分或全部的损失。

2、是黑客的潜在的木马发作，或是蠕虫类病毒发作，让你的机器不断地向外界发送你的隐私、或是利用你的名义和邮件地址发送垃圾，进一步传播病毒；还有就是黑客的手工入侵，窥探你的隐私或是删除破坏你的文件。

处理办法：马上断开服务器网络连接，这样能将自己的损失降低的同时，也避免了病毒向更多的在线服务器传播。

1. 中毒后，应马上备份转移文档和邮件等

中毒后运行杀毒软件清除是不在话下的了，但为了防止杀毒软件误杀或是删掉你还处理完的文档和重要的邮件，你应该首先将它们转移备份到其他储存媒体上。有些长文件名的文件和未处理的邮件要求在windows下备份，所以第一点这里笔者建议您先不要退出windows，因为病毒一旦发作，可能就不能进入windows了。

不管这些文件是否带毒了，你都应该备份，用标签标记为待查即可。因为有些病毒是专门针对某个杀毒软件设计的，一运行就会破坏其他的文件，所以先备份是以防万一的措施。等你清除完硬盘内的病毒后，再来慢慢分析处理这些额外备份的文件较为妥善。

1. 需要在windows下先运行一下杀CIH的软件（即使是带毒环境）

如果是发现了CIH病毒的，要注意不能完全按平时报刊和手册建议的措施，先关机、冷启动用系统盘来引导再杀毒，应在带毒的环境下也运行一次专杀CIH的软件。这样做，杀毒软件可能会报告某些文件在受读写保护无法清理，但带毒运行的实际目的不在于完全清除病毒，而是在于把CIH下次开机时候的破坏减到最低，以防它再次开机破坏主板的BIOS硬件，那么就会黑屏，让你的下一步杀毒无法进行。

1. 需要干净的DOS启动盘和DOS下面进行杀毒

到现在，就应该按很多杀毒软件的标准手册去按步就班地做，即关机后冷启动，用一张干净的DOS启动盘引导是不能少的了；另外由于中毒后可能windows已经被破坏了部分关键文件，会频繁地非法操作，所以windows下的杀毒软件可能会无法运行。所以请你也准备一个DOS下面的杀毒软件来以防万一。

即使能在windows下运行杀毒软件的，也请用两种以上工具交叉清理。在多数情况下windows可能要重装，因为病毒会破坏掉一部分文件让系统变慢或出现频繁的非法操作。比如即使杀了CIH，微软的outlook邮件程序也是反应较慢的。建议不要对某种杀毒软件带偏见，由于开发时候侧重点不同、使用的杀毒引擎不同，各种杀毒软件都是有自己的长处和短处的，交叉使用效果较理想。

1. 如果有Ghost和分区表、引导区的备份，用之来恢复一次最保险

如果你在平时作了windows的Ghost备份，用之来镜像一次，得到的操作系统是最保险的。这样连潜在的未杀光的木马程序也顺便清理了，当然，这要求你的GHOST备份是绝对可靠的，呵呵，要是作Ghost的时候把木马也“备份”了就……

1. 再次恢复系统后，更改你的网络相关密码

包括登录网络的用户名、密码等等，防止黑客已经在上次入侵过程中知道了你的密码。另外因为很多蠕虫病毒发作会向外随机发送你的信息，所以适当的更改是必要的。

• 最后就是该如何预防中毒啦

方法1、及时给系统打上补丁，设置一个安全的密码。

方法2、安装杀毒软件。如果你的机器上没有安装病毒防护软件，你最好还是安装一个。如果你是一个家庭或者个人用户，下载任何一个排名最佳的程序都相当容易，而且可以按照安装向导进行操作。如果你在一个网络中，首先咨询你的网络管理员。

方法3、定期扫描你的系统如果你刚好是第一次启动防病毒软件，最好让它扫描一下你的整个系统。干净并且无病毒问题地启动你的电脑是很好的一件事情。通常，防病毒程都能够设置成在计算机每次启动时扫描系统或者在定期计划的基础上运行。一些程序还可以在你连接到互联网上时在后台扫描系统。定期扫描系统是否感染有病毒，最好成为你的习惯。

方法4、更新你的防病毒软件 既然你安装了病毒防护软件，就应该确保它是最新的。一些防病毒程序带有自动连接到互联网上，并且只要软件厂商发现了一种新的威胁就会添加新的病毒探测代码的功能。你还可以在此扫描系统查找最新的安全更新文件。

方法5、不要乱点击链接和下载软件，特别是那些网站的含有明显错误的网页。如需要下载软件，请到正规官方网站上下载。

方法6、不要访问无名和不熟悉的网站，防止受到恶意代码攻击或是恶意篡改注册表和IE主页。

方法7、不要陌生人和不熟悉的网友聊天，特别是那些QQ病毒携带者，因为他们不时自动发送消息，这也是其中毒的明显特征。

方法8、关闭无用的应用程序，因为那些程序对系统往往会构成威胁，同时还会占用内存，降低系统运行速度。

方法9、安装软件时，切记莫要安装其携带软件，特别流氓软件，一旦安装了，想删都删除不了，一般都需要重装系统才能清除。

方法10、不要轻易执行附件中的EXE和COM等可执行程序 这些附件极有可能带有计算机病毒或是黑客程序，轻易运行，很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子函件中的可执行程序附件都必须检查，确定无异后才可使用。

方法11、不要轻易打开附件中的文档文件 对方发送过来的电子函件及相关附件的文档，首先要用“另存为…”命令（“Save As…”）保存到本地硬盘，待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档，会自动启用Word或 Excel，如有附件中有计算机病毒则会立刻传染；如有“是否启用宏”的提示，那绝对不要轻易打开，否则极有可能传染上电子函件计算机病毒。

方法12、不要直接运行附件 对于文件扩展名很怪的附件，或者是带有脚本文件如*。VBS、*。SHS等的附件，千万不要直接打开，一般可以删除包含这些附件的电子函件，以保证计算机系统不受计算机病毒的侵害。

方法13、安装德迅卫士 ，可以做到结合多个病毒检测引擎，能够实时准确发现主机上的病毒进程，并提供多角度分析结果，以及相应的病毒处理能力。可以做到实时发现入侵事件，提供快速防御和响应能力，可以做到远程防护用于对远程桌面登录进行防护，防止非法登录。支持多重防护规则，增强远程桌面安全。