Мне всегда было интересно, что мы можем сделать, если вирус или червь поразит главный файловый сервер?
Что делать, если с файлового сервера клиенты заражаются указанным червем / вирусом?
Как бы вы его очистили? С чего бы вы вообще начали в скомпрометированной среде, в которой установлен антивирус?
"заражает все" как файлы на сервере, или все как на 800 рабочих станциях грохочут сеть попытками заразить друг друга?
«Правильный» ответ - стереть и переустановить из резервных копий. Практический ответ не всегда так однозначен.
Большинство вирусов сейчас, как правило, просты в том, что они не заражают файлы, а заражают несколько ключевых файлов или действуют как дропперы, поэтому ваши файлы обычно не будут распространять вредоносное ПО. Если сегодня вас поразила самая популярная самораспространяющаяся вредоносная программа, обычно на популярных антивирусных сайтах можно найти целевой дезинфектор. Сложная часть (обычно) - получение на сайт, поскольку многие из этих вредоносных программ будут пытаться замаскироваться и пытаться отключить антивирусные программы, DNS-запросы к антивирусным сайтам и т. д., поэтому вы в конечном итоге будете искать способ попасть на сайт, чтобы получить инструмент в первое место.
Наши системы были заражены червем в большом масштабе. Ключевым моментом для нас было снижение риска. Из более чем 800 систем только небольшая часть из них не работает с Deep Freeze - программой, которая восстанавливает компьютеры в исходное состояние при перезапуске. Таким образом, для этих систем мы можем использовать метод «звездного пути» для фиксации компьютеров в сети. Неисправность все. Все сразу.
Это оставило нас с административными системами, определенным персоналом и серверами для ремонта. Многие из них уже были невосприимчивы из-за того, что не отставали от патчей. У остальных был запущен целевой дезинфектор, затем они перепроверили пару антивирусных программ, чтобы убедиться, что они не проявляют признаков заражения.
Мы также использовали инструменты для сканирования сети на наличие систем, которые не были исправлены или имели удаленные признаки заражения (это был червь, у которого была сетевая подпись с правильным методом сканирования), чтобы мы могли сосредоточить наши усилия на том, что нужно отсортировать для ремонта. . После того, как все признаки заражения исчезли из сети, мы перезапустили все системы Deep Freeze.
(второе примечание - у нас также заблокирован исходящий порт 25 для всех, кроме нашего почтового сервера, чтобы предотвратить попадание нашего домена в черный список)
Поэтому, на наш взгляд, лучший способ предотвратить эту проблему - работать над снижением риска. У студентов нет профилей; затрудняет распространение загруженного (или проносящегося) вредоносного ПО. Разрешения разделяют данные в домашних каталогах серверов. Deep Freeze предотвращает необратимое заражение систем. AV помогает снизить риск, но у нас также были (и до сих пор есть) сигнатуры AV, которые убивают законные исполняемые файлы из-за плохой сигнатуры где-то в базе данных, поэтому AV может быть такой же большой головной болью, как и само вредоносное ПО. Брандмауэры блокируют доступ за пределами нашей сети. Имеются резервные копии для восстановления с нуля в случае необходимости. Приманки в сети могут помочь обнаружить необычную активность. Может помочь мониторинг ваших коммутаторов и шлюзов на предмет необычной активности. Регулярные обновления помогают закрыть уязвимые пути заражения. И разнообразие - ваш друг ... иногда система Linux или Mac может добраться до AV-сайта для захвата инструментов, когда все системы Windows повреждены. Системы Linux также отлично подходят для использования специальных инструментов и сканеров при поиске решений в сети. Это спасло мне попку пару раз при устранении неполадок.
Наша конкретная ситуация не обязательно типична, поэтому снижение риска - это план, который вам необходимо разработать для вашей среды. Но это можно сказать практически о любой системе снижения рисков.
В большинстве случаев вам нужно просто стереть данные и восстановить данные из хороших резервных копий.
В ситуации, когда все заражено, первое, что нужно сделать, - это отключить все от Интернета. На типичном предприятии рабочие станции не должны содержать ничего, кроме данных профиля, поэтому восстановить их с изображениями должно быть легко. Если у вас нет такой возможности, а уборка - единственный вариант, вас ждет угощение. Вам нужно будет выяснить, что это за инфекция, и варианты лечения. Не торопитесь, вам захочется как можно быстрее вернуть все в норму, но именно здесь случаются ошибки. Нет ничего хуже, чем думать, что у вас есть набор компьютеров, очищенных только для того, чтобы позже посетить их и обнаружить, что они повторно заражены.
В случае основного файлового сервера лучший способ действий - это создать образ сервера на отдельные диски и отложить (если у вас есть ресурсы) и стереть его, установить заново и восстановить из резервных копий. Без этого действительно невозможно узнать, укоренился ли он и не вернется ли он, чтобы укусить вас в будущем.