背景:
客戶是地產(chǎn)行業(yè)客戶,云服務(wù)器主要部署OA和sql server數(shù)據(jù)庫(kù),由于內(nèi)部IT薄弱,沒(méi)有做好安全防護(hù),導(dǎo)致服務(wù)器被病毒入侵。
問(wèn)題回顧:
1:服務(wù)器遭受勒索病毒攻擊,導(dǎo)致服務(wù)器OA文件和數(shù)據(jù)庫(kù)文件被鎖,OA網(wǎng)站無(wú)法打開(kāi),數(shù)據(jù)庫(kù)表無(wú)法讀取。
2:業(yè)務(wù)癱瘓期間,企業(yè)無(wú)法展開(kāi)工作,對(duì)企業(yè)造成無(wú)法想象后果 數(shù)據(jù)庫(kù)文件一旦無(wú)法找回,整個(gè)部門(mén)甚至公司將因此停擺
3:同時(shí)D盤(pán)被勒索病毒加密,被加密文件無(wú)法使用
4:客戶沒(méi)有做任何備份措施,聽(tīng)到這個(gè)情況時(shí),對(duì)此次事件不容樂(lè)觀。
5:此情況下最常用的解決辦法
5.1 尋找專業(yè)的第三方數(shù)據(jù)恢復(fù)公司,價(jià)格肯定不菲
5.2 向不法分子支付勒索費(fèi)用,解鎖被勒索文件,價(jià)格不菲的同時(shí),助長(zhǎng)不法分子的囂張氣焰
一場(chǎng)和時(shí)間賽跑,和勒索病毒做斗爭(zhēng)的戰(zhàn)斗已經(jīng)打響,如何做到最快時(shí)間恢復(fù)業(yè)務(wù),資金量投入最小,無(wú)不對(duì)運(yùn)維人員的能力提出了很高的要求。
資產(chǎn)介紹:
1:一臺(tái)服務(wù)器中毒,系統(tǒng)是:windows server 2012 R2。4核16G,500G硬盤(pán)
2:主要程序sql server 2008R2數(shù)據(jù)庫(kù),數(shù)據(jù)庫(kù)量在100G以內(nèi)
3:OA程序提供web訪問(wèn)
整個(gè)業(yè)務(wù)架構(gòu)圖:
架構(gòu)圖非常簡(jiǎn)單,如圖:
排查思路:
1:第一時(shí)間切斷公網(wǎng),避免服務(wù)器再和外界對(duì)接。再開(kāi)臺(tái)windows服務(wù)器,通過(guò)內(nèi)網(wǎng)連接中毒服務(wù)器。
2:查看服務(wù)器受損程度,特別是OA和數(shù)據(jù)庫(kù)文件。
OA服務(wù)無(wú)法打開(kāi),數(shù)據(jù)庫(kù)無(wú)法打開(kāi)。備份文件被鎖死,我當(dāng)時(shí)覺(jué)得情況已經(jīng)非常嚴(yán)重。
3:進(jìn)一步查看sql server mdf文件是否正常。非常好,mdf文件并沒(méi)有被勒索病毒加密。這為數(shù)據(jù)恢復(fù)奠定了基礎(chǔ)。只能說(shuō),感謝勒索病毒手下留情了。
4:接下來(lái)只要獲取OA程序的數(shù)據(jù),就可以復(fù)原客戶的環(huán)境。OA廠商反饋,OA深層備份目錄為:D:SeeyonA8baseupload
此目錄下,文件夾并沒(méi)有被加密。看到這里,覺(jué)得喜出望外。
數(shù)據(jù)恢復(fù):
既然OA程序和數(shù)據(jù)庫(kù)文件都在,可以動(dòng)手進(jìn)行源環(huán)境恢復(fù)。
1:準(zhǔn)備純凈系統(tǒng),windows2012 R2,手動(dòng)部署sql server 2008R2,廠商重新部署OA。
2:做好此初始環(huán)境的快照,避免后期問(wèn)題,導(dǎo)致重裝。
3:數(shù)據(jù)庫(kù)mdf文件和OA程序文件,拷貝,查殺,md5值校驗(yàn)。
拷貝是直接遠(yuǎn)程拷貝的。
對(duì)mdf和OA程序文件進(jìn)行病毒查殺,發(fā)現(xiàn)此文件并沒(méi)有病毒,正常。
數(shù)據(jù)庫(kù)sql mdf文件,拷貝前后md5值對(duì)比,確保數(shù)據(jù)庫(kù)文件大小一致。
3.1 數(shù)據(jù)庫(kù)mdf文件md5校驗(yàn)
3.2 OA程序容量,文件夾對(duì)比
4:數(shù)據(jù)庫(kù)文件導(dǎo)入,數(shù)據(jù)庫(kù)恢復(fù)。
5:客戶OA廠商已經(jīng)重新部署,可以正常訪問(wèn),數(shù)據(jù)庫(kù)文件內(nèi)容沒(méi)有丟失,數(shù)據(jù)恢復(fù)完成。
耗時(shí):4小時(shí)。盡可能降低了客戶的損失。
優(yōu)化改進(jìn)建議:
針對(duì)客戶現(xiàn)在的問(wèn)題,做出如下建議
1:網(wǎng)絡(luò)架構(gòu)優(yōu)化
2:安全體系建立
1.網(wǎng)絡(luò)架構(gòu)優(yōu)化
根據(jù)客戶現(xiàn)有的資金投入,為其設(shè)計(jì)整體架構(gòu)如下
方案簡(jiǎn)述:
1:數(shù)據(jù)庫(kù)和OA應(yīng)用解耦,避免相互影響
2:OA應(yīng)用通過(guò)內(nèi)網(wǎng)訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器,避免數(shù)據(jù)庫(kù)直接暴露公網(wǎng)情況
3:使用云原生sql server數(shù)據(jù)庫(kù),具有 99.9996% 的數(shù)據(jù)可靠性和 99.95% 的服務(wù)可用性。主從雙節(jié)點(diǎn)數(shù)據(jù)庫(kù)架構(gòu),出現(xiàn)故障秒級(jí)切換;具有自動(dòng)備份能力,用戶可通過(guò)回檔功能將數(shù)據(jù)庫(kù)恢復(fù)到之前的時(shí)間點(diǎn)
4:升級(jí)專業(yè)版主機(jī)安全,為主機(jī)提供更高級(jí)的安全防護(hù)能力
5:使用ELB負(fù)載均衡,NAT網(wǎng)關(guān),提供安全網(wǎng)絡(luò)環(huán)境
2.安全體系建立
2.1 設(shè)置定期快照策略,方便數(shù)據(jù)回滾
2.2 建議使用ELB,NAT等網(wǎng)絡(luò)設(shè)備,加強(qiáng)整理架構(gòu)安全
2.3 設(shè)置詳細(xì)的告警策略,服務(wù)器和應(yīng)用不可用時(shí),第一時(shí)間通知管理員
2.4 配備安全產(chǎn)品,進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全,如:waf
