这次维护过去将近两个月的时间，之前一直想和大家分享，不过由于其他原因未能如愿.

首先我说一下这次攻击事件对我的一个警示就是在遭遇网络攻击的情况下，发散性思维是非常重要的。

网络设备如下：防火墙-上网行为管理-核心交换机-内网。

这天，按时来到公司，例行机房检查、服务器状态、日志排查，一切正常却不知一场突如其来的内网攻击即将发生。

上午10点，一位同事发现网络阻塞严重，页面打开极其缓慢，然后外网中断，所有外网无法访问、internet无法访问，但是内网一切正常。

首先想到的是防火墙，进入防火墙管理查看，防火墙CPU负载满的95%标红（通常防火墙CPU负载超过75%就会出现丢包现象），怀疑防火墙死机，随即重启防火墙，将近15分钟的等待后，防火墙重启完毕，一切恢复正常，可是还没几分钟，防火墙CPU又飙升至90%，又回到重启前的状态。

完了。防火墙硬件可能损坏，联系厂家技术协助解决。

随即把防火墙拆下，但是空负载重启之后，防火墙一切正常，立即查看防火墙日志，发现两台内网的机器中了木马，果断进行排查，很快找到那两台机器，重装系统！

防火墙立即装上，这下好了，外网可以访问了，但是负载仍在85%以上。

与此同时，服务器方面也进行了一次快速排查，没有发现异常情况。