背景:
客戶(hù)是地產(chǎn)行業(yè)客戶(hù)��,云服務(wù)器主要部署OA和sql server數(shù)據(jù)庫(kù)�����,由于內(nèi)部IT薄弱���,沒(méi)有做好安全防護(hù)�,導(dǎo)致服務(wù)器被病毒入侵�����。
問(wèn)題回顧:
1:服務(wù)器遭受勒索病毒攻擊��,導(dǎo)致服務(wù)器OA文件和數(shù)據(jù)庫(kù)文件被鎖����,OA網(wǎng)站無(wú)法打開(kāi)�,數(shù)據(jù)庫(kù)表無(wú)法讀取���。
2:業(yè)務(wù)癱瘓期間,企業(yè)無(wú)法展開(kāi)工作�����,對(duì)企業(yè)造成無(wú)法想象后果 數(shù)據(jù)庫(kù)文件一旦無(wú)法找回�,整個(gè)部門(mén)甚至公司將因此停擺
3:同時(shí)D盤(pán)被勒索病毒加密,被加密文件無(wú)法使用
4:客戶(hù)沒(méi)有做任何備份措施�,聽(tīng)到這個(gè)情況時(shí),對(duì)此次事件不容樂(lè)觀�����。
5:此情況下常用的解決辦法
5.1 尋找專(zhuān)業(yè)的第三方數(shù)據(jù)恢復(fù)公司�����,價(jià)格肯定不菲
5.2 向不法分子支付勒索費(fèi)用�,解鎖被勒索文件,價(jià)格不菲的同時(shí)���,助長(zhǎng)不法分子的囂張氣焰
一場(chǎng)和時(shí)間賽跑��,和勒索病毒做斗爭(zhēng)的戰(zhàn)斗已經(jīng)打響��,如何做到最快時(shí)間恢復(fù)業(yè)務(wù)�,資金量投入最小,無(wú)不對(duì)運(yùn)維人員的能力提出了很高的要求���。
資產(chǎn)介紹:
1:一臺(tái)服務(wù)器中毒�����,系統(tǒng)是:windows server 2012 R2����。4核16G���,500G硬盤(pán)
2:主要程序sql server 2008R2數(shù)據(jù)庫(kù)�,數(shù)據(jù)庫(kù)量在100G以?xún)?nèi)
3:OA程序提供web訪問(wèn)
整個(gè)業(yè)務(wù)架構(gòu)圖:
架構(gòu)圖非常簡(jiǎn)單�����,如圖:
排查思路:
1:第一時(shí)間切斷公網(wǎng),避免服務(wù)器再和外界對(duì)接��。再開(kāi)臺(tái)windows服務(wù)器����,通過(guò)內(nèi)網(wǎng)連接中毒服務(wù)器。
2:查看服務(wù)器受損程度����,特別是OA和數(shù)據(jù)庫(kù)文件����。
OA服務(wù)無(wú)法打開(kāi),數(shù)據(jù)庫(kù)無(wú)法打開(kāi)�。備份文件被鎖死,我當(dāng)時(shí)覺(jué)得情況已經(jīng)非常嚴(yán)重����。
3:進(jìn)一步查看sql server mdf文件是否正常。非常好����,mdf文件并沒(méi)有被勒索病毒加密。這為數(shù)據(jù)恢復(fù)奠定了基礎(chǔ)�����。只能說(shuō),感謝勒索病毒手下留情了����。
4:接下來(lái)只要獲取OA程序的數(shù)據(jù),就可以復(fù)原客戶(hù)的環(huán)境�����。OA廠商反饋�����,OA深層備份目錄為:D:\Seeyon\A8\base\upload
此目錄下��,文件夾并沒(méi)有被加密����。看到這里�,覺(jué)得喜出望外。
數(shù)據(jù)恢復(fù):
既然OA程序和數(shù)據(jù)庫(kù)文件都在�,可以動(dòng)手進(jìn)行源環(huán)境恢復(fù)。
1:準(zhǔn)備純凈系統(tǒng)�����,windows2012 R2,手動(dòng)部署sql server 2008R2��,廠商重新部署OA����。
2:做好此初始環(huán)境的快照,避免后期問(wèn)題���,導(dǎo)致重裝��。
3:數(shù)據(jù)庫(kù)mdf文件和OA程序文件,拷貝��,查殺�����,md5值校驗(yàn)���。
拷貝是直接遠(yuǎn)程拷貝����。
對(duì)mdf和OA程序文件進(jìn)行病毒查殺,發(fā)現(xiàn)此文件并沒(méi)有病毒�����,正常����。
數(shù)據(jù)庫(kù)sql mdf文件,拷貝前后md5值對(duì)比�����,確保數(shù)據(jù)庫(kù)文件大小一致��。
3.1 數(shù)據(jù)庫(kù)mdf文件md5校驗(yàn)
3.2 OA程序容量�,文件夾對(duì)比
4:數(shù)據(jù)庫(kù)文件導(dǎo)入���,數(shù)據(jù)庫(kù)恢復(fù)���。
5:客戶(hù)OA廠商已經(jīng)重新部署,可以正常訪問(wèn)���,數(shù)據(jù)庫(kù)文件內(nèi)容沒(méi)有丟失���,數(shù)據(jù)恢復(fù)完成�。
耗時(shí):4小時(shí)�����。盡可能降低了客戶(hù)的損失��。
優(yōu)化改進(jìn)建議:
針對(duì)客戶(hù)現(xiàn)有的問(wèn)題�����,做出如下建議
1:網(wǎng)絡(luò)架構(gòu)優(yōu)化
2:安全體系建立
1.網(wǎng)絡(luò)架構(gòu)優(yōu)化
根據(jù)客戶(hù)現(xiàn)有的資金投入���,為期設(shè)計(jì)整體架構(gòu)如下
方案簡(jiǎn)述:
1:數(shù)據(jù)庫(kù)和OA應(yīng)用解耦����,避免相互影響
2:OA應(yīng)用通過(guò)內(nèi)網(wǎng)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器�,避免數(shù)據(jù)庫(kù)直接暴露公網(wǎng)情況
3:使用云原生sql server數(shù)據(jù)庫(kù)���,具有 99.9996% 的數(shù)據(jù)可靠性和 99.95% 的服務(wù)可用性。主從雙節(jié)點(diǎn)數(shù)據(jù)庫(kù)架構(gòu)���,出現(xiàn)故障秒級(jí)切換�����;具有自動(dòng)備份能力,用戶(hù)可通過(guò)回檔功能將數(shù)據(jù)庫(kù)恢復(fù)到之前的時(shí)間點(diǎn)
4:升級(jí)專(zhuān)業(yè)版主機(jī)安全�����,為主機(jī)提供更高級(jí)的安全防護(hù)能力
5:使用ELB負(fù)載均衡��,NAT網(wǎng)關(guān)�,提供安全網(wǎng)絡(luò)環(huán)境
2.安全體系建立
2.1 設(shè)置定期快照策略����,方便數(shù)據(jù)回滾
2.2 建議使用ELB���,NAT等網(wǎng)絡(luò)設(shè)備�,加強(qiáng)整理架構(gòu)安全
2.3 設(shè)置詳細(xì)告警策略���,服務(wù)器和應(yīng)用不可用時(shí)����,第一時(shí)間通知管理員
2.4 配備安全產(chǎn)品�����,進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全����,如:waf
(以上是自己的一些見(jiàn)解,若有不足或者錯(cuò)誤的地方請(qǐng)各位指出)
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/127936.html
