所以这是一个菜鸟问题。
为什么我们要对已感染恶意软件的机器进行清理,而不是直接将其清除?我知道在某些情况下这是不可能的(例如大型数据库服务器或当我们没有备份时)。但许多指导视频和工具都是为工作站而不是大型服务器设计的。
我想我的工作流程可能是这样的:清理机器/恢复未备份的文件->核实/重新安装机器->修补/更新/恢复备份->将机器添加回网络。
但据我了解,如果可能的话,只执行第一步“清理机器”作为处理恶意软件的措施。但我们能完全相信在“清理”步骤中已删除所有恶意软件吗?我是不是太过偏执,做了 10 倍的工作,还是我错过了什么?
谢谢您的回答。
答案1
“许多指导视频和工具都是为工作站设计的”
(可能应该读作:对于家用户)
对于许多家庭用户来说,一个合理的假设是,他们不进行(定期)备份,他们的笔记本电脑/个人电脑是他们(唯一的)宠物。他们的时间和精力是“免费的”,他们的数据和文件只是变成了真的在恶意软件感染之后对他们来说很有价值。
基于这个前提,他们花费大量精力来使笔记本电脑或个人电脑功能齐全,能够正常启动,并且能够再次使用以访问和恢复其数据和文件,这是有道理的。
对于许多家庭用户来说,这种情况已经是相当大的成就,他们现在很高兴。
视频结束。
他们要么不知道,要么干脆忽略了这一点:他们的系统当然还没有“完全修复”,而且数据仍然不能被信任是干净的。
作为一名专业人士,你可能会从那些拥有家庭用户世界观的人那里得到指导(即“修复”和恢复受损系统是一项几乎无法完成的任务,并且始终需要恢复文件和数据),他们相信你作为专业人士可以完成许多他们无法完成的事情(无可否认是正确的),然后他们(错误地)还认为,当你修复受损系统和数据时,能无需重新安装即可再次清洁。
这取决于 IT 部门/您是否在那里给予适当的反击。
例如,理论上(实际上也是如此,对吧?)您有适当的备份和/或数据复制以满足 RPO 和 RTO,并且不需要从受损的服务器恢复数据以实现业务连续性。
摧毁受感染的系统,运行自动安装和配置脚本,重新部署即可。
我想我的工作流程可能是这样的:
清理机器/恢复未备份的文件
->核实/重新安装机器
->修补/更新/恢复备份
->将机器添加回网络。
听起来你开始写“企业术语”中所谓的事件响应计划。
这是一个合理的开始。PhilL W. 的回答已经链接到ServerFault 上的一个很好的资源但请注意,事件响应计划不仅由系统管理员编写,还应得到您的企业的支持。那里的决策与您的灾难恢复计划密切相关,而数据备份和恢复(RPO 和 RTO)通常由灾难恢复计划决定。
答案2
清理机器/恢复尚未备份的文件...
...其中任何一项或全部都可能受到损害。 你应该仅有的使用这些文件进行网络外的诊断,以追踪恶意软件入侵的漏洞。您不应尝试基于它们重建正在运行的系统。
删除/重新安装机器...修补/更新/恢复备份...将机器添加回网络。
这是普遍接受的方式处理受感染的服务器,但可能需要很久而措辞不当的企业复苏战略可能不允许这样做。这就是为什么我们被要求“迅速”地“修补”一切,尽管这样做本身存在风险。