我想保护 Windows 文件服务器免受 Locky 或其他勒索软件的攻击。因此,我已经在服务器中创建了一条规则,每当有人试图创建 .locky 等文件时,都会停止文件服务器。
但创建这些木马的人并不傻,他们只是使用新的文件结尾,所以这个想法是在有大量文件写入和删除时停止文件服务器,因为勒索软件会获取文件,加密它,将其保存为新文件并删除旧文件。这种行为是勒索软件的典型行为,应该能够被发现。
因此,我有一台 Linux 机器,它将 Windows 文件服务器安装到 /mnt/foo
但现在存在一个问题:我如何才能永久扫描此文件夹以查找大量文件写入/删除?
希望你能帮忙;)
答案1
这听起来像是你需要编写自己的软件来完成的事情,遍历文件并在发生变化时(文件出现或消失)进行记录。如果一段时间内的变化次数超过平均使用量某个阈值,则采取行动。
但是,这很容易导致一些严重的问题。例如,假设我是您系统上的用户,我将某个程序最新版本的包含大量文件的文件夹复制过来。然后,我删除了之前复制到服务器的旧版本,但我被锁定了,因为我刚刚进行了大量文件写入和删除。没有很好的方法来区分这些用法。
因此,我们来谈谈真正的潜在问题,“保护 Windows 文件服务器免受勒索软件攻击的最佳方法是什么?”答案很简单。良好的备份。由于您已经将要保护的数据安装在该 Linux 机器上,因此我会在那里进行备份。限制对备份服务器的访问,不要在上面上网。如果出现问题,只需返回到没有问题的备份即可。