公司有台服务器中了勒索病毒,好在被加密的数据不太重要,但是担心影响其他服务器和办公设备。
现在全部服务器都断网了,想找安全服务公司来排查修复一下漏洞后再联网。
想问下大家有遇到过类似的情况吗,360 公司的应急响应怎么样?联系 360 他们建议我们购买终端杀毒软件,感觉这个装在服务器上会影响服务器性能吧。
中病毒的服务器操作系统是 Windows Server 2012 数据恢复不太抱希望了,现在就是想避免再被攻击。
1
Xmi080225 2023-12-21 12:02:01 +08:00 2
服务器开了外网 RDP ?还是局域网内有其它主机开了外网 RDP ,然后服务器开了共享?
没必要找什么 360 把该关的端口关了就行 |
2
em70 2023-12-21 12:02:19 +08:00 1
一定要把 administrator 改名,网上很多扫描器每天在扫,字典攻击进来的
|
3
ok47 OP 没有开 3389 端口,在网络设备上开了 8000 端口的映射,可能是从这个端口运行的服务注入进来的,今天检查看到服务的目录下面有很多奇怪的 php 文件
|
5
ok47 OP @Xmi080225 没有开 3389 端口,在网络设备上开了 8000 端口的映射,可能是从这个端口运行的服务注入进来的,今天检查看到服务的目录下面有很多奇怪的 php 文件
|
6
darklinden 2023-12-21 13:28:26 +08:00 1
别暴露可以 rdp 的 win 机器到公网
另起个 linux 只开需要暴露的端口纯转发 如果需要公网 rdp 的,开 ssh tunnel 从另外的跳板机 rdp,跳板机禁用密码 |
7
lxyv 2023-12-21 13:31:08 +08:00 1
全盘搜一下第一个被加密的文件修改时间,如果 log 没被加密,查一下这个时间的所有 log 。这种情况一定要找一家供应商来检查,目的不是指望他们能帮你排查出问题,而是联网之后如果出了没人能背的起的锅,你可以甩给他们。
|
8
Xmi080225 2023-12-21 15:31:18 +08:00 1
如果非要外网用 RDP 的,把默认 3389 改掉,administrator 账户禁止远程登录,换其它账户用来远程登录
这样基本上就不会中勒索病毒了 另外不管有没有开 RDP ,重要资料一定要做好异地备份 |
9
registerrr 2023-12-21 15:52:42 +08:00 1
如果用外网 RDP 一定一定一定不要用弱密码,密码强度务必要比默认生成的密码强度要高高高
|
10
gvdlmjwje 2023-12-21 16:54:44 +08:00 1
我们找的深信服,他们安排人做了一个端口镜像然后分析,后面让他们搭了个 EDR 试用版,在所有服务器上安装,对勒索和漏洞的检测都有,后面就采购了一批。(非广告,你也可以找找其他 EDR 产品)
|
11
wuxiao2522 2023-12-21 16:58:06 +08:00 1
上面对外有什么服务吗?先找到入口再说。
|
12
ok47 OP @darklinden 学到了,谢谢大佬
|
15
ok47 OP @registerrr 事件日志里看到只暴破了十几次就进来了,但密码也是大小写数字特殊字符都有,感觉可能还有别的问题
|
17
ok47 OP @wuxiao2522 好的,我按这个思路排查看看,谢谢大佬
|
18
wedfds 2023-12-21 18:43:14 +08:00 1
数据定时备份,加一些基础防护
|
19
illl 2023-12-21 18:45:23 +08:00 via iPhone 1
找人众测一下,先找出漏洞来。
|
20
YaakovZiv 2023-12-21 23:38:05 +08:00 1
找人排查预估是可以的,因为我上家公司做云平台运维的时候,某三线城市市政单位就是找的 360 和市公安来济南现场处理的服务器勒索病毒。后来那个城市和 360 的人还签订了三年的合作协议,买了他们的人长期在市公安
|
21
registerrr 2023-12-22 10:31:26 +08:00 1
@registerrr #9 如果密码强度够高,不要用什么弱密码,rdp 就算开了问题也不大。只爆破十几次就进来了,那就不太可能是 rdp 的原因。
|
22
WoneFrank 361 天前
需要安全加固之类的可以联系:YzNkOWQ0NjlkMTVhOTE2MQ==
|
23
ok47 OP @registerrr 是的,安全工程师排查下来发现通过 web 服务的公开漏洞进行攻击的可能性比较大。在 web 服务的目录里能看到很多名字奇怪的文件。
|