我一直想知道,如果病毒或蠕虫碰巧影响了主文件服务器,我们该怎么办?
如果文件服务器的客户端被上述蠕虫/病毒感染该怎么办?
您将如何清理它?在已安装防病毒软件的受感染环境中,您从哪里开始呢?
答案1
感染一切,是指服务器上的文件,还是是指 800 个工作站通过网络试图相互感染?
“正确”的答案是清除备份并从备份中重新安装。实际答案并不总是如此简单。
现在大多数病毒都比较简单,它们不会感染文件,而是感染一些关键文件或充当植入程序,因此您的文件通常不会传播恶意软件。如果您受到当今最流行的自传播恶意软件的攻击,通常可以从流行的 AV 站点获得有针对性的杀毒程序。困难的部分(通常)是获得到该网站,因为许多这些恶意软件程序会尝试掩盖自己并尝试禁用 AV 程序、对 AV 网站的 DNS 请求等,所以你最终会寻找一种进入该网站的方法以获取该工具。
我们的系统曾大规模感染蠕虫病毒。对我们来说,关键是降低风险。在 800 多个系统中,只有一小部分没有运行 Deep Freeze,这是一个在重新启动时将计算机恢复到原始状态的程序。因此,对于这些系统,我们可以使用“星际迷航”方法修复网络中的计算机。关闭一切。 一次全部。
剩下的就是修复管理系统、某些员工和服务器。由于及时打补丁,其中许多系统已经免疫。其他系统运行了有针对性的杀毒程序,然后用几个 AV 程序重新检查,以确认它们没有出现感染迹象。
我们还使用工具扫描网络,查找未打补丁或有远程感染迹象的系统(这是一种具有网络签名的蠕虫,采用正确的扫描方法),以便我们能够针对性地对需要修复的系统进行分类。在网络上的所有感染迹象消失后,我们重新启动了所有 Deep Freeze 系统。
(次要说明 - 我们还封锁了除我们的邮件服务器之外的所有服务器的 25 号传出端口,以防止我们的域名被列入黑名单)
因此,我们认为,预防该问题的最佳方法是努力降低风险。学生没有个人资料;这使得传播下载的(或驱动的)恶意软件变得更加困难。权限将数据隔离在服务器的主目录中。Deep Freeze 可防止系统受到永久感染。AV 有助于降低风险,但我们也曾有过(现在仍然有)AV 签名,这些签名会因为数据库中某处的错误签名而杀死合法的可执行文件,因此 AV 可能和恶意软件本身一样令人头疼。防火墙阻止了我们网络外部的访问。如果需要,备份已到位,可以从裸机恢复。网络中的蜜罐可以帮助检测异常活动。监控交换机和网关是否存在异常活动会有所帮助。定期更新有助于关闭脆弱的感染途径。多样性是你的朋友……有时当所有 Windows 系统都瘫痪时,Linux 系统或 Mac 可以访问 AV 站点以获取工具。在网络上搜索解决方案时,Linux 系统也非常适合提取特殊工具和扫描仪。在排除故障的过程中它多次拯救了我。
我们的具体情况不一定具有代表性,因此您需要针对具体环境制定风险缓解计划。但几乎任何风险缓解系统都是如此。
答案2
大多数情况下,您只需擦除并从良好的备份中恢复即可。
答案3
如果所有设备都感染了病毒,首先要做的就是断开所有设备与互联网的连接。在典型的企业中,工作站除了配置文件数据外不应包含任何其他内容,因此恢复带有图像的工作站应该很容易。如果您没有其他选择,而清理是唯一的选择,那么您将大饱眼福。您将需要弄清楚感染了什么以及治疗方法。慢慢来,您会希望尽快让一切恢复正常,但这正是错误发生的地方。没有什么比您以为已经清理了一组机器,但后来再次查看它们却发现它们再次感染了更糟糕的了。
对于主文件服务器,最好的做法是将服务器镜像到单独的磁盘上并放在一边(如果您有资源)然后擦除它,重新安装并从备份中恢复。如果不这样做,就真的无法知道它是否被根化,并且不会在以后再次困扰您。