我有一位客户最近遇到了 Cryptolocker 的一个非常新的变体。不幸的是,受到攻击的用户对系统具有高级别的访问权限。显然没有教育一些人。
我突然想到,如果可以在写入每个文件时(但在写入之前)制作每个文件的副本(例如到 SSD 上),并在这些文件过夜时将其删除,那么应该可以减轻损害,但我不知道如何做到这一点。
有谁知道可以在 Linux SAMBA 服务器上采取的技术步骤来缓解 Cryptolocker,并且不依赖于限制用户访问或依赖 AV。 (我们的反病毒软件没有检测到它,因为威胁在用户受到攻击前几个小时才出现)
我曾想过将数据放在逻辑卷上并定期拍摄快照,但我知道快照会对性能产生巨大的影响,我希望避免这种情况。
答案1
我从未被这些令人讨厌的加密锁变体之一击中,但如果没有文件备份,那就通过快照或其他方法进行备份,这是您可以拥有的唯一保护。
此外,无论谁告诉您快照会降低性能,这都不完全正确。是的,拍摄快照会占用一些资源,但根据快照卷的大小,它可能小到可以忽略不计。如果不知道数据的大小和性质,就很难判断。但你必须有办法备份这些文件,以防 Cryptolocker 命中或再次命中。
答案2
如果 LVM 快照不适合您,那么您需要查看定期(可能是频繁)备份,将其写入恶意软件无法写入访问的位置。然后,您只需让 LVM 快照处于活动状态足够长的时间即可进行备份。
这是否意味着使用 Duplicity、borg-backup、rsync、rdiff-backup 或 rsnapshot、写入外部 USB 驱动器或 SSH 连接另一端的服务器,都取决于您。
就我个人而言,我更喜欢 borg-backup,因为它可以:
- 可变大小块的重复数据删除
- 压缩
- 通过 SSH 运行良好
- 在备份服务器上创建最少数量的文件
- 初始备份后速度非常快
Borg 在创建增量方面足够快,因此我会考虑创建源文件系统的 LVM 快照,使用 Borg 进行备份,然后删除 LVM 快照。根据备份的数据和文件量,快照处于活动状态的时间可能少于每小时一两分钟。
轶事:用于使用 rdiff-backup 备份基于 MailDir 的 100GB 邮件服务器,每天需要 4-6 小时,并在目标文件系统上创建大量小文件。使用 Attic(Borg 的前身)将其变成了 15-20 分钟的操作,并且在目标文件系统上仅创建了几百个文件。因此,由于目标目录中创建的文件数量巨大,我不再喜欢基于 rsync 的备份。
链接:
- 口是心非——http://duplicity.nongnu.org/
- 博格-https://github.com/borgbackup
- rsnapshot -http://rsnapshot.org/
- rdiff 备份 -http://www.nongnu.org/rdiff-backup/
- 同步-https://rsync.samba.org/
答案3
就快照而言,我们可能会转向 ZFS,它允许成本低得多的快照。
我们还在相应的共享中添加了以下几行,我相信通过安装 samba-vfs 并备份已删除的文件,可以针对 Cryptolocker 的某些变体提供一些保护 -
vfs objects = recycle
recycle:repository = .recycle
recycle:keeptree = yes
recycle:versions = yes
我还找到了一个邮政其中涉及其他缓解措施 - 包括打开全面审核并使用fail2ban来查找cryptlocker重命名所使用的常见扩展以减轻威胁。