隔离和清理受感染的服务器
上一次修改主题: 2005-04-29
如果内部 Exchange 服务器被感染,可以按照下列步骤来删除感染的病毒:
- 禁止用户访问 Exchange。
- 清理邮件传递基础结构:
- 冻结和撤消冻结队列。
- 查找和删除受感染的邮件。
禁止用户访问 Exchange
在某些情况下,当病毒爆发时,可能有必要在对服务器进行杀毒时禁止用户使用 Exchange。禁止用户访问有助于确保在杀除组织中的病毒时,服务器不会被感染。在邮箱清理过程中,可能需要对 Exchange 存储运行杀毒工具。因此,不得卸除存储,并且必须使其继续运行。禁止用户访问 Exchange 计算机的推荐方法是:拔下以太网电缆以断开该计算机与网络的物理连接。
清理邮件传递基础结构
识别了包含病毒的邮件后,必须对邮件传递基础结构进行清理或杀毒。清理邮件传递基础结构的过程包括清理队列、清理邮箱,然后对服务器进行杀毒。
清理队列
清理邮件传递基础结构的第一步是清理队列。对于每一台服务器,此任务都包括冻结队列、查找异常邮件,然后将其删除。有关详细步骤,请参阅下列文章:
清理邮箱
删除队列中的病毒邮件后,必须对邮箱进行杀毒。执行此任务的最佳途径是使用第三方防病毒解决方案。有关用于 Exchange 2003 的防病毒产品的信息,请参阅“Exchange Server Partners: Antivirus”网站。
如果防病毒软件不具备将邮件从 Exchange 存储中删除的功能,则必须通过运行邮箱合并向导 (ExMerge.exe) 来删除有问题的邮件。有关使用 ExMerge.exe 从 Exchange 中删除病毒邮件的详细信息,请参阅 Microsoft 知识库文章 328202“HOW TO: Remove a Virus-Infected Message from Mailboxes by Using the ExMerge.exe Tool”。
对服务器进行杀毒
将包含病毒的邮件从 Exchange 服务器中删除之后,以及将服务器重新联机之前,必须对服务器进行杀毒。此处,对服务器杀毒意味着进行文件级别的扫描,以确保服务器自身未感染病毒。要手动执行此操作,可以按照任何病毒网站上与特定病毒有关的说明来执行,也可以在 Exchange 服务器上运行文件级别的防病毒软件,并更新病毒签名。