背景:
客戶是地產(chǎn)行業(yè)客戶,云服務(wù)器主要部署OA和sql server數(shù)據(jù)庫�����,由于內(nèi)部IT薄弱��,沒有做好安全防護��,導致服務(wù)器被病毒入侵�。
問題回顧:
1:服務(wù)器遭受勒索病毒攻擊,導致服務(wù)器OA文件和數(shù)據(jù)庫文件被鎖�,OA網(wǎng)站無法打開,數(shù)據(jù)庫表無法讀取����。
2:業(yè)務(wù)癱瘓期間,企業(yè)無法展開工作�����,對企業(yè)造成無法想象后果 數(shù)據(jù)庫文件一旦無法找回���,整個部門甚至公司將因此停擺
3:同時D盤被勒索病毒加密����,被加密文件無法使用
4:客戶沒有做任何備份措施,聽到這個情況時�����,對此次事件不容樂觀����。
5:此情況下常用的解決辦法
5.1 尋找專業(yè)的第三方數(shù)據(jù)恢復(fù)公司����,價格肯定不菲
5.2 向不法分子支付勒索費用,解鎖被勒索文件���,價格不菲的同時�,助長不法分子的囂張氣焰
一場和時間賽跑��,和勒索病毒做斗爭的戰(zhàn)斗已經(jīng)打響����,如何做到最快時間恢復(fù)業(yè)務(wù),資金量投入最小�,無不對運維人員的能力提出了很高的要求。
資產(chǎn)介紹:
1:一臺服務(wù)器中毒�����,系統(tǒng)是:windows server 2012 R2。4核16G����,500G硬盤
2:主要程序sql server 2008R2數(shù)據(jù)庫,數(shù)據(jù)庫量在100G以內(nèi)
3:OA程序提供web訪問
整個業(yè)務(wù)架構(gòu)圖:
架構(gòu)圖非常簡單��,如圖:
排查思路:
1:第一時間切斷公網(wǎng)�,避免服務(wù)器再和外界對接。再開臺windows服務(wù)器�����,通過內(nèi)網(wǎng)連接中毒服務(wù)器����。
2:查看服務(wù)器受損程度,特別是OA和數(shù)據(jù)庫文件����。
OA服務(wù)無法打開,數(shù)據(jù)庫無法打開�����。備份文件被鎖死,我當時覺得情況已經(jīng)非常嚴重����。
3:進一步查看sql server mdf文件是否正常。非常好���,mdf文件并沒有被勒索病毒加密�����。這為數(shù)據(jù)恢復(fù)奠定了基礎(chǔ)����。只能說��,感謝勒索病毒手下留情了����。
4:接下來只要獲取OA程序的數(shù)據(jù)����,就可以復(fù)原客戶的環(huán)境。OA廠商反饋����,OA深層備份目錄為:D:\Seeyon\A8\base\upload
此目錄下�,文件夾并沒有被加密����。看到這里����,覺得喜出望外。
數(shù)據(jù)恢復(fù):
既然OA程序和數(shù)據(jù)庫文件都在�����,可以動手進行源環(huán)境恢復(fù)�����。
1:準備純凈系統(tǒng)�����,windows2012 R2��,手動部署sql server 2008R2,廠商重新部署OA���。
2:做好此初始環(huán)境的快照���,避免后期問題,導致重裝�。
3:數(shù)據(jù)庫mdf文件和OA程序文件,拷貝����,查殺,md5值校驗�����。
拷貝是直接遠程拷貝���。
對mdf和OA程序文件進行病毒查殺,發(fā)現(xiàn)此文件并沒有病毒�,正常。
數(shù)據(jù)庫sql mdf文件�,拷貝前后md5值對比,確保數(shù)據(jù)庫文件大小一致����。
3.1 數(shù)據(jù)庫mdf文件md5校驗
3.2 OA程序容量�����,文件夾對比
4:數(shù)據(jù)庫文件導入����,數(shù)據(jù)庫恢復(fù)����。
5:客戶OA廠商已經(jīng)重新部署,可以正常訪問����,數(shù)據(jù)庫文件內(nèi)容沒有丟失,數(shù)據(jù)恢復(fù)完成�。
耗時:4小時。盡可能降低了客戶的損失�。
優(yōu)化改進建議:
針對客戶現(xiàn)有的問題,做出如下建議
1:網(wǎng)絡(luò)架構(gòu)優(yōu)化
2:安全體系建立
1.網(wǎng)絡(luò)架構(gòu)優(yōu)化
根據(jù)客戶現(xiàn)有的資金投入�,為期設(shè)計整體架構(gòu)如下
方案簡述:
1:數(shù)據(jù)庫和OA應(yīng)用解耦,避免相互影響
2:OA應(yīng)用通過內(nèi)網(wǎng)訪問數(shù)據(jù)庫服務(wù)器��,避免數(shù)據(jù)庫直接暴露公網(wǎng)情況
3:使用云原生sql server數(shù)據(jù)庫����,具有 99.9996% 的數(shù)據(jù)可靠性和 99.95% 的服務(wù)可用性��。主從雙節(jié)點數(shù)據(jù)庫架構(gòu)�,出現(xiàn)故障秒級切換����;具有自動備份能力,用戶可通過回檔功能將數(shù)據(jù)庫恢復(fù)到之前的時間點
4:升級專業(yè)版主機安全�,為主機提供更高級的安全防護能力
5:使用ELB負載均衡,NAT網(wǎng)關(guān)�����,提供安全網(wǎng)絡(luò)環(huán)境
2.安全體系建立
2.1 設(shè)置定期快照策略�����,方便數(shù)據(jù)回滾
2.2 建議使用ELB����,NAT等網(wǎng)絡(luò)設(shè)備���,加強整理架構(gòu)安全
2.3 設(shè)置詳細告警策略�����,服務(wù)器和應(yīng)用不可用時���,第一時間通知管理員
2.4 配備安全產(chǎn)品��,進一步加強網(wǎng)絡(luò)安全���,如:waf
(以上是自己的一些見解,若有不足或者錯誤的地方請各位指出)
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/127936.html
