背景:
客户是地产行业客户,云服务器主要部署OA和sql server数据库,由于内部IT薄弱,没有做好安全防护,导致服务器被病毒入侵。
问题回顾:
1:服务器遭受勒索病毒攻击,导致服务器OA文件和数据库文件被锁,OA网站无法打开,数据库表无法读取。
2:业务瘫痪期间,企业无法展开工作,对企业造成无法想象后果 数据库文件一旦无法找回,整个部门甚至公司将因此停摆
3:同时D盘被勒索病毒加密,被加密文件无法使用
4:客户没有做任何备份措施,听到这个情况时,对此次事件不容乐观。
5:此情况下常用的解决办法
5.1 寻找专业的第三方数据恢复公司,价格肯定不菲
5.2 向不法分子支付勒索费用,解锁被勒索文件,价格不菲的同时,助长不法分子的嚣张气焰
一场和时间赛跑,和勒索病毒做斗争的战斗已经打响,如何做到最快时间恢复业务,资金量投入最小,无不对运维人员的能力提出了很高的要求。
资产介绍:
1:一台服务器中毒,系统是:windows server 2012 R2。4核16G,500G硬盘
2:主要程序sql server 2008R2数据库,数据库量在100G以内
3:OA程序提供web访问
整个业务架构图:
架构图非常简单,如图:
排查思路:
1:第一时间切断公网,避免服务器再和外界对接。再开台windows服务器,通过内网连接中毒服务器。
2:查看服务器受损程度,特别是OA和数据库文件。
OA服务无法打开,数据库无法打开。备份文件被锁死,我当时觉得情况已经非常严重。
3:进一步查看sql server mdf文件是否正常。非常好,mdf文件并没有被勒索病毒加密。这为数据恢复奠定了基础。只能说,感谢勒索病毒手下留情了。
4:接下来只要获取OA程序的数据,就可以复原客户的环境。OA厂商反馈,OA深层备份目录为:D:\Seeyon\A8\base\upload
此目录下,文件夹并没有被加密。看到这里,觉得喜出望外。
数据恢复:
既然OA程序和数据库文件都在,可以动手进行源环境恢复。
1:准备纯净系统,windows2012 R2,手动部署sql server 2008R2,厂商重新部署OA。
2:做好此初始环境的快照,避免后期问题,导致重装。
3:数据库mdf文件和OA程序文件,拷贝,查杀,md5值校验。
拷贝是直接远程拷贝。
对mdf和OA程序文件进行病毒查杀,发现此文件并没有病毒,正常。
数据库sql mdf文件,拷贝前后md5值对比,确保数据库文件大小一致。
3.1 数据库mdf文件md5校验
3.2 OA程序容量,文件夹对比
4:数据库文件导入,数据库恢复。
5:客户OA厂商已经重新部署,可以正常访问,数据库文件内容没有丢失,数据恢复完成。
耗时:4小时。尽可能降低了客户的损失。
优化改进建议:
针对客户现有的问题,做出如下建议
1:网络架构优化
2:安全体系建立
1.网络架构优化
根据客户现有的资金投入,为期设计整体架构如下
方案简述:
1:数据库和OA应用解耦,避免相互影响
2:OA应用通过内网访问数据库服务器,避免数据库直接暴露公网情况
3:使用云原生sql server数据库,具有 99.9996% 的数据可靠性和 99.95% 的服务可用性。主从双节点数据库架构,出现故障秒级切换;具有自动备份能力,用户可通过回档功能将数据库恢复到之前的时间点
4:升级专业版主机安全,为主机提供更高级的安全防护能力
5:使用ELB负载均衡,NAT网关,提供安全网络环境
2.安全体系建立
2.1 设置定期快照策略,方便数据回滚
2.2 建议使用ELB,NAT等网络设备,加强整理架构安全
2.3 设置详细告警策略,服务器和应用不可用时,第一时间通知管理员
2.4 配备安全产品,进一步加强网络安全,如:waf
(以上是自己的一些见解,若有不足或者错误的地方请各位指出)
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/127936.html
摘要:月日,勒索病毒在全球爆发了。恢复被删除的文件可以使用推出的勒索病毒文件恢复工具来恢复被删除的文件。建议重装系统前,首先将硬盘格式化,彻底去除勒索病毒的影响。 5月12日,勒索病毒在全球爆发了。截止到目前为止,包括英国、中国、美国、俄罗斯和意大利等在内的全球多个国家均受到此次病毒的攻击。 勒索病毒有什么危害? 这种名为WannaCrypt的病毒,会扫描开放445文件共享端口的Window...
摘要:万一不幸感染了这个勒索病毒,您应该做的第一件事就是断网检查数据中毒情况并寻找专业数据恢复公司的帮助。 目录 前言:案例简介 一、什么是.[paybackformistake@qq.com].makop勒索病毒? 二、中了.[paybackformistake@qq.com].makop后缀勒...
摘要:推出云单节点版本,极低成本,降低使用门槛阿里云云服务正式推出单节点版本,欢迎访问了解更多。最后,通过钉钉技术交流群找到阿里云的技术团队同学。阿里云团队希望通过这些星星之火,点燃以及整个技术生态的草原。普及,阿里云团队在行动原文链接 摘要: 一、HBase的历史由来 HBase是一个开源的非关系型分布式数据库(NoSQL),基于谷歌的BigTable建模,是一个高可靠性、高性能、高伸缩的...
MySQL™ 参考手册 此文档分别记录了MySQL 8.0到8.0.19,以及基于NDB 8.0版到8.0.18-ndb-8.0.18的NDB Cluster版本。它可能包括尚未发布的MySQL版本功能的文档,有关已发布的版本的信息,请参阅MySQL 8.0发行说明。 MySQL 8.0的特性。本手册描述的特性没有包含在每个MySQL 8.0版本中,此类特性可能不包含在许可给你的MySQL 8.0...
摘要:这种集成使软件能够检测应用程序级别的任何和所有停机时间,无论其原因如何,其中包括各种云计算服务等级协议未涵盖的原因。采用云计算的注意事项是一种很好的建议。云计算服务提供商(CSP)都会承诺在其基础设施中提供高可用性,其服务水平协议(SLA)通常提供95%至99.99%的正常运行时间,而每月服务费退款率将达到10%到50%不等。但通常没有达到这样的门槛,正如IT的许多方面一样,重要的在于细节。...
阅读 1286·2024-02-01 10:43
阅读 371·2024-01-31 14:58
阅读 433·2024-01-31 14:54
阅读 818·2024-01-29 17:11
阅读 2206·2024-01-25 14:55
阅读 1481·2023-06-02 13:36
阅读 2087·2023-05-23 10:26
阅读 470·2023-05-23 10:25
