Jar*_*red 2 networking windows malware
我一直想知道,如果病毒或蠕虫碰巧影响了主文件服务器,我们该怎么办?
如果来自文件服务器的客户端被所述蠕虫/病毒感染怎么办?
你会如何清理它?在具有防病毒功能的受感染环境中,您甚至会从哪里开始?
“感染一切”,如服务器上的文件,或者 800 台工作站中的一切都在试图相互感染网络?
“正确”的答案是从备份中擦除并重新安装。实际的答案并不总是那么简单。
大多数病毒现在都趋于直接,因为它们不会感染文件,而是感染一些关键文件或充当植入程序,因此您的文件通常不会传播恶意软件。如果您今天受到最流行的自我传播恶意软件的攻击,通常可以从流行的 AV 站点获得有针对性的消毒程序。困难的部分(通常情况下)是获得该网站,因为许多这些恶意程序会试图掩盖自己和尝试禁用反病毒程序,DNS请求AV网站等所以你最终在寻找一种方式来获得进入首先获取该工具的站点。
我们的系统已经被蠕虫大规模感染。我们的关键是降低风险。在 800 多个系统中,只有一小部分没有运行 Deep Freeze,Deep Freeze 是一种在重新启动时将计算机恢复到原始状态的程序。因此对于那些系统,我们可以使用“星际迷航”方法来修复网络中的计算机。关闭一切。一次全部。
这给我们留下了需要修复的管理系统、某些员工和服务器。由于跟上补丁,他们中的许多人已经免疫了。其他人进行了有针对性的消毒,然后用几个 AV 程序重新检查,以确认它们没有显示感染迹象。
我们还使用工具来扫描网络中未打补丁或有远程感染迹象的系统(它是一种具有正确扫描方法的网络签名的蠕虫),因此我们可以将我们的工作重点放在对维修进行分类的内容上. 在所有感染迹象都消失后,我们重新启动了所有 Deep Freeze 冰点系统。
(次要说明 - 除了我们的邮件服务器之外,我们还阻止了所有的传出端口 25,以防止我们的域被列入黑名单)
因此,在我们看来,防止该问题的最佳方法是努力降低风险。学生没有个人资料;使传播下载的(或路过的)恶意软件变得更加困难。权限隔离服务器主目录中的数据。Deep Freeze 冰点可防止系统受到永久性感染。AV 有助于降低风险,但我们也有(并且仍然有)AV 签名,由于数据库中某个地方的签名错误,这些签名会杀死合法的可执行文件,因此 AV 可能与恶意软件本身一样令人头疼。防火墙正在阻止我们网络外部的访问。如果需要,备份到位以从裸机恢复。网络中的蜜罐可以帮助检测奇怪的活动。监控您的交换机和网关的异常活动会有所帮助。定期更新有助于关闭脆弱的感染途径。多样性是您的朋友……有时,当所有 Windows 系统都瘫痪时,Linux 系统或 Mac 可以到达 AV 站点以获取工具。Linux 系统也非常适合在网络上搜索解决方案时提取特殊工具和扫描仪。在排除故障时,它挽救了我的臀部几次。
我们的特定情况不一定是典型的,因此降低风险是您需要针对您的环境制定的计划。但这几乎适用于任何风险缓解系统。
| 归档时间: |
|
| 查看次数: |
351 次 |
| 最近记录: |