事件调查与分析

　　被篡改网页的网站由多个管理员负责，其中一个的网管员疏忽，最终导致了数据的丢失。

　　·事件调查

　　这个管理员在服务器上调试程序故障，但遇到了一些问题。为了尽快地解决故障，管理员开启了防火墙中服务器网段可以主动访问外网的权限。他在一个不知名的网站上发现了和故障相关的信息，非常庆幸的利用Google找到答案的同时，他点击了这个网页，但意想不到的事情发生了：这个网页中嵌入了木马病毒，导致服务器被感染。

　　由于之前防火墙为开启DMZ区向外主动访问的权限，防毒软件报警，但无法清除和隔离病毒文件，管理员迅速升级防病毒程序，病毒库升级完成，病毒被隔离。

　　·事件分析

　　在这位网络管理员操作之前，公司的服务器是安全的。因为禁止了服务器主动向外部网络发起链接。但他开启了这个权限之后，并利用服务器的IE访问外部网站是危险的，这是导致整个安全体系崩溃的开始。经过后来恢复的日志，我们发现那个ok.asp文件就是病毒未查杀之前被木马程序主动下载到服务器Web站点中的。通过杀毒软件隔离区的恢复，我们发现木马程序还包含了一个邮件发送程序段，服务器信息被木马发送到一个xxxx@xxxxadad.com的邮件地址中。