有老板经常提出这个要安全那个要安全
问买防病毒软件/防火墙有冇用
我现在告诉你,肯定有,
2023-6-21 下午处置一突发病毒
早上有机器报告反复病毒提示几次
下午3点前后突然收到火绒多个邮件提醒并且次数异常,立马意识到不正常,
立马远程登入客户环境 火绒后台
,发现同一时间多台机共享目录内执行文件感染同一病毒
查174服务器临时共享目录 一样中招
但无一例外都被清除,却无法查明来源
想到群晖NAS也有公用共享文件夹,也中招,那太好了,群晖有非常完整 文件访问记录
锁定一台新来电脑IP:221 对所有exe文件写入操作。
第一步先在群晖里把221列为黑名单位拒绝访问
第二步 立马执行过去的演练计划:火绒安全
-----------
A下发所有机禁止221入站访问
B下发任务所有机下次开机“快速查杀"
C下发开启所有机共享端口135-139445入站记录(确保万一有其他机器受感染可以通过入站端口反查来源)
D再下发计划任务:下次开机深度查杀
E再下发一次全盘查杀
-----------------
一顿操作过后再细看日志记录
通过记录发现17日17点最早发现零星感染,火绒已即时清除,今天21日明显增多也是即时清除。
电话实查外部工程师带入221电脑带病毒引起
刚才下发的快速查杀逐步完毕
只有174共享的document大量受感染也清除了,
但考虑到太多太杂,174有群晖ABB全盘每天备份,干脆直接在线还原这个目录
18:00通过20日的备份替换
至此处置完毕
观察几天,无再新增就完结了
================
利用到之前的安全演练过程
做到全链条处置警怚,最快速度压制病毒扩散
并且追中到源头。
同时也验证了机外备份系统的可用性
===========================