记一次火绒帮助企业用户分析日志：仅一个月遭遇近万次漏洞攻击

企业网络环境错综复杂，包括终端管理混乱，对U盘、外设、共享文件夹等公用资源缺乏防护，员工安全意识良莠不齐等，都容易导致病毒能够轻易入侵终端和服务器。部分企业在安装安全软件发现并解决当前安全威胁后，未能引起重视，进行全面排查等措施，或导致后续依旧有被攻击的风险。

实际上，当企业中安全软件成功拦截漏洞攻击、查杀出病毒时，也往往意味着企业内部存在安全隐患，或正在遭遇外部攻击。需要管理人员根据安全软件的查杀、拦截日志，对全网做一次全面的检测，解决威胁源头问题。如果有必要，可以联系安全厂商进行协助调查，并根据企业需求设置常规安全措施，进一步降低企业安全风险。

就在近期，火绒收到某企业用户的求助，要求对其终端部署的火绒企业版安全日志进行一次较为全面的分析。通过日志查看发现，仅在一个月内，火绒便拦截了数千次的病毒、漏洞等攻击。随后，火绒工程师提供了应急的解决方案和长期的安全加固建议，解决当前安全事件和后续安全防护的问题。

根据该企业提供的火绒企业版关于“病毒防御”、“网络入侵拦截”、“恶意网址拦截”以及“软件安装拦截”四类功能的日志，工程师发现如下安全隐患：

一、内网病毒类型多、数量多

根据火绒日志显示，火绒一个月内对该企业的27台终端拦截1821次恶意病毒攻击。病毒类型包括感染型、宏病毒、勒索病毒、流氓广告、蠕虫、挖矿等数十种。

病毒拦截日志

其中，企业常见的感染型、宏病毒等均在其中，这类病毒会感染可执行程序和Office文档，火绒除了对其进行拦截查杀以外，不会损坏文件。

二、网络入侵/漏洞攻击频繁

在漏洞入侵拦截上，火绒检测该企业终端共遭受9245次永恒之蓝漏洞攻击，通过火绒“网络入侵拦截”功能，溯源攻击源头为该企业其中的11台终端。如果不及时溯源到这些带有漏洞的终端，并及时修复漏洞，那么企业内的漏洞攻击也将是持续不断的。

漏洞攻击拦截日志

三、流氓软件疯狂推广

员工安全意识薄弱，容易陷入流氓软件的套路。比如在某下载站下载软件后，会被捆绑、静默安装其它软件，其目的是为了广告推广、访问恶意网址（见下文），甚至还有投放后门等病毒的风险。

火绒企业版检测到的软件安全行为

火绒会及时检测软件的安装行为

四、恶意网址访问不断

同样在一个月中，火绒日志显示了拦截该企业7个终端对5个恶意网址进行过6566次访问。其中有不少恶意网址均来源于小黑记事本、快压、万能输入法等通过捆绑安装进入的流氓软件，这些软件均被火绒报告披露过。

针对上述安全现状，火绒工程师为该企业提供一份紧急响应措施：

1、立即对全网全盘进行扫描查杀。

2、对被攻击的IP地址列表中的主机进行网络隔离，并查杀病毒。

3、及时修复终端及服务器上的漏洞。

4、增强终端及服务器登录口令，建议包含大小写、特殊字符等，开启火绒“终端动态认证”、“远程登录防护”等功能，可有效防止密码泄漏、弱口令暴破等风险。

不仅如此，为了避免持续面临安全风险，火绒工程师还建议包括该企业在内的广大企业用户，做好长期安全加固的准备：

1、部署安全软件，定期对全网全盘进行查杀，发现可疑现象可及时联系专业人员分析处理。

2、加强内部员工安全意识，做到不随意安装其它软件、不点击陌生链接和邮件等。

3、尽量关闭3389等端口。如有需求，可使用火绒“远程桌面”等安全工具代替使用。

4、对U盘等移动外设要先查杀后使用。

5、对重要数据进行多重备份。