隔离和清理受感染的服务器

 

上一次修改主题: 2005-04-29

如果内部 Exchange 服务器被感染,可以按照下列步骤来删除感染的病毒:

  1. 禁止用户访问 Exchange。
  2. 清理邮件传递基础结构:
    1. 冻结和撤消冻结队列。
    2. 查找和删除受感染的邮件。

在某些情况下,当病毒爆发时,可能有必要在对服务器进行杀毒时禁止用户使用 Exchange。禁止用户访问有助于确保在杀除组织中的病毒时,服务器不会被感染。在邮箱清理过程中,可能需要对 Exchange 存储运行杀毒工具。因此,不得卸除存储,并且必须使其继续运行。禁止用户访问 Exchange 计算机的推荐方法是:拔下以太网电缆以断开该计算机与网络的物理连接。

识别了包含病毒的邮件后,必须对邮件传递基础结构进行清理或杀毒。清理邮件传递基础结构的过程包括清理队列、清理邮箱,然后对服务器进行杀毒。

清理邮件传递基础结构的第一步是清理队列。对于每一台服务器,此任务都包括冻结队列、查找异常邮件,然后将其删除。有关详细步骤,请参阅下列文章:

删除队列中的病毒邮件后,必须对邮箱进行杀毒。执行此任务的最佳途径是使用第三方防病毒解决方案。有关用于 Exchange 2003 的防病毒产品的信息,请参阅“Exchange Server Partners: Antivirus”网站。

如果防病毒软件不具备将邮件从 Exchange 存储中删除的功能,则必须通过运行邮箱合并向导 (ExMerge.exe) 来删除有问题的邮件。有关使用 ExMerge.exe 从 Exchange 中删除病毒邮件的详细信息,请参阅 Microsoft 知识库文章 328202“HOW TO: Remove a Virus-Infected Message from Mailboxes by Using the ExMerge.exe Tool”。

将包含病毒的邮件从 Exchange 服务器中删除之后,以及将服务器重新联机之前,必须对服务器进行杀毒。此处,对服务器杀毒意味着进行文件级别的扫描,以确保服务器自身未感染病毒。要手动执行此操作,可以按照任何病毒网站上与特定病毒有关的说明来执行,也可以在 Exchange 服务器上运行文件级别的防病毒软件,并更新病毒签名。

 
显示: