和勒索病毒斗争的经历,要听吗?
关键是什么,备份备份备份,没有备份,以后真的会丢了工作,抱头哭
1、用SYNOLOGY的计算机备份整个ERP服务器的C,D盘
2、11.20号员工反馈上不了ERP,去了机房才发现机器中了勒索病毒,
3、幸好关键ERP数据库文件没有被加密,LDF,MDF
4、用PE登入到系统,把文件拷贝到移动硬盘(确认再确认有拷贝完整)用友的数据库源文件,重要重要重要
UFDATA.LDF UFDATA.MDF/UFMeta.LDF UFMeta.MDF/UFSystem.LDF UFSystem.MDF/UTU.LDF UTU.MDF
5、最后用SYNOLOGY提供的恢复工具客户端,用DOS引导,通过网络还原整个系统的C D盘
6、花了6个小时才还原完成,因为内部是百兆网络,每秒钟只能拷贝10M
7、拷贝ERP数据文件,
8、重启系统,最后把整个ERP恢复起来
当时就我一个人,心跳达到101下,吓死了如果恢复不回来,4个月的数据都没了
129807
幸好没感染到关键文件,向大家报告,一定要备份备份备份,重要事说N遍。
129808
是这四个文件。U8ERP非常重要,内外都勒索,外有勒索病毒,内要应付用友(因为没钱交保护费)一年要好多钱。上次也是中了一次勒索病毒,我叫用友来安装,花了6000大洋
这次我一个人把他搞定,一分钱没花,这个群辉NAS的备份软件是免费的,以前我也叫一个数据恢复的公司来报价,要10W大洋,我没给。(PS。我悟到了应该是勒索病毒是一种修改文件后缀加密的软件,而为什么我所有文件都感染了,就SQL在运行的日志和数据都没感染呢?我分析可能是SQL还在运行,所以那个勒索加密被堵住了,没法动所以跳过去加密其他文件,一般SQL在运行,你想去改那后缀可以改吗?还有SA的密码要加强一点)主要现在哪儿都不太平,香港大乱,台湾大选,美国支持,所以黑客到处流窜。
还有后续啊,要听的点个赞
后续来了
1、还原后,我进入服务器管理,第一步就是先加固密码,这次搞14位的
2、然后进入服务器管理发现有好多ID4625的扫描用户名和密码的日志
3、也是很讨厌啊,就是这些鬼在骚扰的。我一直查啊查,因为我的U8客户端都没有装,是用埃克斯EAA终端登入器,当做是客户端(因为U8安装包N多G,考个文件都得1小时,还有安装时间)
4、这个登陆器客户端必须开启3389端口,而勒索软件就是扫描这个端口,我又不能改端口,后来用DOS命令,NETSTAT -AN 发现有很多外网地址访问我的服务器内网IP
5、最后刷大招了,把路由器原先开给维护的客户端全部关闭,那些苍蝇才进不来。(这个解决了)
6、以后规定,妈的以后维护一概用拨号VPN进来,我给他开权限,路由器的映射端口一概不开,花生壳全部关闭掉
就这样解决了,有点脾气。
129824129824
129825129825
以后规定,妈的以后维护一概用拨号VPN进来,我给他开权限,路由器的映射端口一概不开,花生壳全部关闭掉
这就是我的大招,没辙了
不要把网络端口都暴露在外网
只能把所有端口映射都关闭掉129827
这下系统清爽多了,
编辑于 2019-11-22 10:41
编辑于 2019-11-22 11:07