布景：

客戶是地產(chǎn)職業(yè)客戶，云服務(wù)器首要布置OA和sql server數(shù)據(jù)庫(kù)，因?yàn)閮?nèi)部IT薄弱，沒(méi)有做好安全防護(hù)，導(dǎo)致服務(wù)器被病毒入侵。

問(wèn)題回顧：

1：服務(wù)器遭受勒索病毒攻擊，導(dǎo)致服務(wù)器OA文件和數(shù)據(jù)庫(kù)文件被鎖，OA網(wǎng)站無(wú)法翻開，數(shù)據(jù)庫(kù)表無(wú)法讀取。

2：事務(wù)癱瘓期間，企業(yè)無(wú)法翻開工作，對(duì)企業(yè)形成無(wú)法想象后果 數(shù)據(jù)庫(kù)文件一旦無(wú)法找回，整個(gè)部門乃至公司將因此停擺

3：一起D盤被勒索病毒加密，被加密文件無(wú)法使用

4：客戶沒(méi)有做任何備份辦法，聽到這個(gè)狀況時(shí)，對(duì)此次事情不容樂(lè)觀。

5：此狀況下常用的解決辦法

       5.1 尋覓專業(yè)的第三方數(shù)據(jù)康復(fù)公司，價(jià)格必定不菲

       5.2 向不法分子付出勒索費(fèi)用，解鎖被勒索文件，價(jià)格不菲的一起，助長(zhǎng)不法分子的囂張氣焰

一場(chǎng)和時(shí)刻賽跑，和勒索病毒做斗爭(zhēng)的戰(zhàn)斗現(xiàn)已打響，如何做到最快時(shí)刻康復(fù)事務(wù)，資金量投入最小，無(wú)不對(duì)運(yùn)維人員的才能提出了很高的要求。

財(cái)物介紹：

1：一臺(tái)服務(wù)器中毒，系統(tǒng)是：windows server 2012 R2。4核16G，500G硬盤

2：首要程序sql server 2008R2數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)量在100G以內(nèi)

3：OA程序供給web拜訪

整個(gè)事務(wù)架構(gòu)圖：

架構(gòu)圖十分簡(jiǎn)單，如圖：

排查思路：

1：第一時(shí)刻堵截公網(wǎng)，防止服務(wù)器再和外界對(duì)接。再開臺(tái)windows服務(wù)器，經(jīng)過(guò)內(nèi)網(wǎng)連接中毒服務(wù)器。

2：檢查服務(wù)器受損程度，特別是OA和數(shù)據(jù)庫(kù)文件。

       OA服務(wù)無(wú)法翻開，數(shù)據(jù)庫(kù)無(wú)法翻開。備份文件被鎖死，我當(dāng)時(shí)覺(jué)得狀況現(xiàn)已十分嚴(yán)重。

3：進(jìn)一步檢查sql server mdf文件是否正常。十分好，mdf文件并沒(méi)有被勒索病毒加密。這為數(shù)據(jù)康復(fù)奠定了基礎(chǔ)。只能說(shuō)，感謝勒索病毒手下留情了。

4：接下來(lái)只要獲取OA程序的數(shù)據(jù)，就能夠復(fù)原客戶的環(huán)境。OA廠商反應(yīng)，OA深層備份目錄為：D:\Seeyon\A8\base\upload

此目錄下，文件夾并沒(méi)有被加密。看到這兒，覺(jué)得喜不自禁。

數(shù)據(jù)康復(fù)：

已然OA程序和數(shù)據(jù)庫(kù)文件都在，能夠著手進(jìn)行源環(huán)境康復(fù)。

1：準(zhǔn)備純潔系統(tǒng)，windows2012 R2，手動(dòng)布置sql server 2008R2，廠商重新布置OA。

2：做好此初始環(huán)境的快照，防止后期問(wèn)題，導(dǎo)致重裝。

3：數(shù)據(jù)庫(kù)mdf文件和OA程序文件，復(fù)制，查殺，md5值校驗(yàn)。

       復(fù)制是直接長(zhǎng)途復(fù)制。

       對(duì)mdf和OA程序文件進(jìn)行病毒查殺，發(fā)現(xiàn)此文件并沒(méi)有病毒，正常。

      數(shù)據(jù)庫(kù)sql mdf文件，復(fù)制前后md5值比照，保證數(shù)據(jù)庫(kù)文件大小一致。

      3.1 數(shù)據(jù)庫(kù)mdf文件md5校驗(yàn)

3.2 OA程序容量，文件夾比照

4：數(shù)據(jù)庫(kù)文件導(dǎo)入，數(shù)據(jù)庫(kù)康復(fù)。

5：客戶OA廠商現(xiàn)已重新布置，能夠正常拜訪，數(shù)據(jù)庫(kù)文件內(nèi)容沒(méi)有丟掉，數(shù)據(jù)康復(fù)完成。

耗時(shí)：4小時(shí)。盡可能降低了客戶的損失。

優(yōu)化改進(jìn)主張：

針對(duì)客戶現(xiàn)有的問(wèn)題，做出如下主張

1：網(wǎng)絡(luò)架構(gòu)優(yōu)化

2：安全系統(tǒng)樹立

1.網(wǎng)絡(luò)架構(gòu)優(yōu)化

根據(jù)客戶現(xiàn)有的資金投入，為期設(shè)計(jì)全體架構(gòu)如下

方案簡(jiǎn)述：

1：數(shù)據(jù)庫(kù)和OA使用解耦，防止相互影響

2：OA使用經(jīng)過(guò)內(nèi)網(wǎng)拜訪數(shù)據(jù)庫(kù)服務(wù)器，防止數(shù)據(jù)庫(kù)直接暴露公網(wǎng)狀況

3：使用云原生sql server數(shù)據(jù)庫(kù)，具有 99.9996% 的數(shù)據(jù)可靠性和 99.95% 的服務(wù)可用性。主從雙節(jié)點(diǎn)數(shù)據(jù)庫(kù)架構(gòu)，出現(xiàn)毛病秒級(jí)切換；具有自動(dòng)備份才能，用戶可經(jīng)過(guò)回檔功能將數(shù)據(jù)庫(kù)康復(fù)到之前的時(shí)刻點(diǎn)

4：升級(jí)專業(yè)版主機(jī)安全，為主機(jī)供給更高檔的安全防護(hù)才能

5：使用ELB負(fù)載均衡，NAT網(wǎng)關(guān)，供給安全網(wǎng)絡(luò)環(huán)境

2.安全系統(tǒng)樹立

2.1 設(shè)置定期快照戰(zhàn)略，方便數(shù)據(jù)回滾

2.2 主張使用ELB，NAT等網(wǎng)絡(luò)設(shè)備，加強(qiáng)收拾架構(gòu)安全

2.3 設(shè)置具體告警戰(zhàn)略，服務(wù)器和使用不行用時(shí)，第一時(shí)刻通知管理員

2.4 配備安全產(chǎn)品，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全，如：waf