减轻 Cryptolocker 对共享 SAMBA 服务器的控制

减轻 Cryptolocker 对共享 SAMBA 服务器的控制

我有一位客户最近遇到了 Cryptolocker 的一个非常新的变体。不幸的是,受到攻击的用户对系统具有高级别的访问权限。显然没有教育一些人。

我突然想到,如果可以在写入每个文件时(但在写入之前)制作每个文件的副本(例如到 SSD 上),并在这些文件过夜时将其删除,那么应该可以减轻损害,但我不知道如何做到这一点。

有谁知道可以在 Linux SAMBA 服务器上采取的技术步骤来缓解 Cryptolocker,并且不依赖于限制用户访问或依赖 AV。 (我们的反病毒软件没有检测到它,因为威胁在用户受到攻击前几个小时才出现)

我曾想过将数据放在逻辑卷上并定期拍摄快照,但我知道快照会对性能产生巨大的影响,我希望避免这种情况。

答案1

我从未被这些令人讨厌的加密锁变体之一击中,但如果没有文件备份,那就通过快照或其他方法进行备份,这是您可以拥有的唯一保护。

此外,无论谁告诉您快照会降低性能,这都不完全正确。是的,拍摄快照会占用一些资源,但根据快照卷的大小,它可能小到可以忽略不计。如果不知道数据的大小和性质,就很难判断。但你必须有办法备份这些文件,以防 Cryptolocker 命中或再次命中。

答案2

如果 LVM 快照不适合您,那么您需要查看定期(可能是频繁)备份,将其写入恶意软件无法写入访问的位置。然后,您只需让 LVM 快照处于活动状态足够长的时间即可进行备份。

这是否意味着使用 Duplicity、borg-backup、rsync、rdiff-backup 或 rsnapshot、写入外部 USB 驱动器或 SSH 连接另一端的服务器,都取决于您。

就我个人而言,我更喜欢 borg-backup,因为它可以:

  • 可变大小块的重复数据删除
  • 压缩
  • 通过 SSH 运行良好
  • 在备份服务器上创建最少数量的文件
  • 初始备份后速度非常快

Borg 在创建增量方面足够快,因此我会考虑创建源文件系统的 LVM 快照,使用 Borg 进行备份,然后删除 LVM 快照。根据备份的数据和文件量,快照处于活动状态的时间可能少于每小时一两分钟。

轶事:用于使用 rdiff-backup 备份基于 MailDir 的 100GB 邮件服务器,每天需要 4-6 小时,并在目标文件系统上创建大量小文件。使用 Attic(Borg 的前身)将其变成了 15-20 分钟的操作,并且在目标文件系统上仅创建了几百个文件。因此,由于目标目录中创建的文件数量巨大,我不再喜欢基于 rsync 的备份。

链接:

答案3

就快照而言,我们可能会转向 ZFS,它允许成本低得多的快照。

我们还在相应的共享中添加了以下几行,我相信通过安装 samba-vfs 并备份已删除的文件,可以针对 Cryptolocker 的某些变体提供一些保护 -

    vfs objects = recycle
    recycle:repository = .recycle
    recycle:keeptree = yes
    recycle:versions = yes

我还找到了一个邮政其中涉及其他缓解措施 - 包括打开全面审核并使用fail2ban来查找cryptlocker重命名所使用的常见扩展以减轻威胁。

相关内容