我总是想知道,如果病毒或蠕虫事件影响主文件服务器,我们该怎么办?
如果从文件服务器的客户端感染了蠕虫/病毒呢?
你将如何清理它? 你甚至可以在一个有防病毒的妥协环境中开始工作?
像服务器上的文件一样“感染所有东西”,或者像800个工作站中的所有东西都在试图互相感染networking。
“正确”的答案将被擦除,并从备份重新安装。 实际的答案并不总是如此简单。
大多数病毒现在往往是直截了当的,因为他们不感染文件,但感染几个关键文件或作为滴pipe,所以你的文件通常不会传播恶意软件。 如果您今天受到最stream行的自我传播恶意软件的攻击,通常会有stream行的AV站点提供有针对性的消毒器。 最困难的部分(通常)是进入该网站,因为这些恶意软件程序将尝试掩盖自己,并尝试禁用AV程序,DNS请求AV站点等,所以你最终会寻找一种方法来进入该网站首先获得该工具。
我们用蠕虫病毒大规模感染了我们的系统。 我们的关键是减轻风险。 在800多个系统中,只有一小部分未运行Deep Freeze,这是一个在重新启动时将计算机恢复到原始状态的程序。 所以对于这些系统我们可以用“星际迷航”的方法来修复networking中的电脑。 closures一切 。 一次全部。
这给我们留下了pipe理系统,某些人员和服务器来维修。 他们中的许多人因为跟上补丁而已经免疫。 其他人进行了有针对性的消毒运行,然后再与一对夫妇的AV程序重新核对,以确认他们没有出现感染迹象。
我们还使用了工具来扫描networking中没有修补或者有远程感染迹象的系统(这是一种蠕虫,通过正确的扫描方法得到了networking签名),所以我们可以针对我们在修理分类上的努力。 在所有感染迹象都离开networking之后,我们重新启动了所有Deep Freeze系统。
(次要注意事项 – 我们也有阻止所有邮件服务器的传出端口25,以防止将我们的域名列入黑名单)
因此,我们认为,防止这个问题的最好办法就是减轻风险。 学生没有档案; 使传播下载(或驱车)恶意软件变得困难。 权限隔离服务器主目录中的数据。 Deep Freeze可防止系统永久感染。 AV有助于降低风险,但是我们也有(并且仍然会)AV签名会杀死合法的可执行文件,因为数据库中的签名不好,所以AV可能和恶意软件本身一样痛苦。 防火墙阻止了我们networking之外的访问。 如果需要的话,备份可以从裸机恢复。 networking中的蜜jar可以帮助检测古怪的活动。 监视你的交换机和网关的exception活动可以帮助。 定期更新有助于closures脆弱的感染途径。 多样性是你的朋友…有时,一个Linux系统或Mac可以到达一个video网站抓取工具,当所有的Windows系统瘫痪。 当在networking上search解决scheme时,Linux系统对于拉动特殊工具和扫描仪也是非常棒的。 在排除故障时,它保存了我几次。
我们的特殊情况不一定是典型的,因此减轻风险是您需要针对您的环境创build的计划。 但是,关于任何风险缓解系统都可以这么说。
在大多数情况下,您只需擦除并从良好的备份恢复。
在一切都被感染的情况下,首先要做的就是从互联网上断开一切。 在一个典型的企业中,工作站不应该包含任何东西,除了configuration文件数据,所以用图像恢复应该很容易。 如果你没有select,清洁是唯一的select,你是在一个治疗。 你会想知道什么是感染,以及治疗scheme。 放慢速度,你会希望尽可能快地恢复正常,但那是错误发生的地方。 没有什么比认为你已经清理了一套机器更糟了,只是为了以后重新访问它们,发现它们被重新感染了。
在主文件服务器的情况下,最好的方法是将服务器镜像到单独的磁盘上,并将其保留(如果有资源)并擦除,请从备份中安装新的和恢复的文件。 如果没有这样做,真的没有办法知道它是否根深蒂固,不会回来咬你的道路。