Что бы вы сделали, когда червь заражает все?
Мне всегда было интересно, что мы можем сделать, если вирус или червь оказали влияние на главный файловый сервер?
Что делать, если с файлового сервера клиенты заражаются указанным червем / вирусом?
Как бы вы это почистили? Где бы вы начали в скомпрометированной среде с антивирусом?
3 ответа
"заражает все", как в файлах на сервере, или все, как на 800 рабочих станциях, захлопывает сеть, пытаясь заразить друг друга?
"Правильный" ответ будет стереть и переустановить из резервных копий. Практический ответ не всегда так прост.
Большинство вирусов, как правило, просты в том, что они не заражают файлы, а заражают несколько ключевых файлов или действуют как дропперы, поэтому ваши файлы обычно не распространяют вредоносное ПО. Если сегодня вас поражает большинство популярных самораспространяющихся вредоносных программ, то на популярных AV-сайтах обычно есть целевой дезинфектор. Сложная часть (обычно) попадает на сайт, так как многие из этих вредоносных программ будут пытаться маскировать себя и пытаться отключить AV-программы, DNS-запросы к AV-сайтам и т. Д., Чтобы вы в конечном итоге искали способ проникнуть в сайт, чтобы получить инструмент в первую очередь.
У нас были масштабные заражения наших систем червем. Ключевым для нас было снижение риска. Из более чем 800 систем только небольшая их часть не использует Deep Freeze - программу, которая восстанавливает исходное состояние компьютеров при перезапуске. Таким образом, для этих систем мы можем использовать метод "star trek" для исправления компьютеров в сети. Отключи все. Все сразу.
Это оставило нас с административными системами, определенным персоналом и серверами для ремонта. Многие из них уже были невосприимчивы из-за того, что не отставали от патчей. У остальных была целевая дезинфекция, а затем еще раз проверили с парой программ AV, чтобы убедиться, что они не проявляют признаков инфекции.
Мы также использовали инструменты для сканирования сети на наличие систем, которые не были исправлены или имели отдаленные признаки заражения (это был червь с сетевой подписью с правильным методом сканирования), чтобы мы могли сосредоточить свои усилия на том, что сортировать для ремонта, После того, как все признаки заражения исчезли из сети, мы перезапустили все системы Deep Freeze.
(дополнительное примечание - у нас также заблокирован исходящий порт 25 для всех, кроме нашего почтового сервера, чтобы предотвратить попадание нашего домена в черный список)
Так что, по нашему мнению, лучший способ предотвратить эту проблему - это работать над уменьшением риска. У студентов нет профилей; затрудняет распространение загруженного (или вредоносного) вредоносного ПО. Разрешения разделяют данные в домашних каталогах серверов. Deep Freeze предотвращает постоянное заражение в системах. AV помогает снизить риск, но у нас также есть (и все еще есть) подписи AV, которые убивают законные исполняемые файлы из-за плохой подписи в базе данных где-то, поэтому AV может быть такой же большой болью в заднице, как и сама вредоносная программа. Брандмауэры блокируют доступ за пределами нашей сети. Резервные копии на месте, чтобы восстановить из голого металла в случае необходимости. Honeypots в сети могут помочь обнаружить странную активность. Мониторинг ваших коммутаторов и шлюзов для необычной активности может помочь. Обновления по регулярному расписанию помогают закрыть уязвимые пути заражения. А разнообразие - твой друг... иногда система Linux или Mac могут получить доступ к AV-сайту для захвата инструментов, когда все системы Windows повреждены. Системы Linux также отлично подходят для использования специальных инструментов и сканеров при поиске решений в сети. Это спасло мою попку пару раз при поиске неисправностей.
Наша конкретная ситуация не обязательно является типичной, поэтому снижение рисков - это план, который вам необходимо создать, исходя из конкретных условий. Но это можно сказать о любой системе снижения рисков.
В большинстве случаев вы просто стираете и восстанавливаете из хороших резервных копий.
В ситуации, когда все заражено, первое, что нужно сделать, это отключить все от Интернета. На типичном предприятии рабочие станции не должны содержать ничего, кроме данных профиля, поэтому восстановление их с изображениями должно быть простым. Если у вас нет такой возможности, а уборка - единственная возможность, вас ждет угощение. Вы захотите выяснить, что такое инфекция, и варианты лечения. Идите медленнее, вам захочется как можно быстрее вернуть все в нормальное состояние, но именно здесь происходят ошибки. Нет ничего хуже, чем думать, что у вас есть очищенный набор машин, чтобы потом вернуться к ним, чтобы выяснить, не были ли они повторно заражены.
В случае основного файлового сервера лучший способ действий - создать образ сервера для разделения дисков, выделить его (если у вас есть ресурсы) и стереть его, установить заново и восстановить из резервных копий. Без этого действительно невозможно узнать, был ли он укоренен и не вернется, чтобы укусить вас в будущем.