中了勒索病毒,想要排查网络有没有漏洞,找 360 公司来应急响应可以吗?

140 天前
 ok47

公司有台服务器中了勒索病毒,好在被加密的数据不太重要,但是担心影响其他服务器和办公设备。

现在全部服务器都断网了,想找安全服务公司来排查修复一下漏洞后再联网。

想问下大家有遇到过类似的情况吗,360 公司的应急响应怎么样?联系 360 他们建议我们购买终端杀毒软件,感觉这个装在服务器上会影响服务器性能吧。

中病毒的服务器操作系统是 Windows Server 2012 数据恢复不太抱希望了,现在就是想避免再被攻击。

2643 次点击
所在节点    信息安全
26 条回复
Xmi080225
140 天前
服务器开了外网 RDP ?还是局域网内有其它主机开了外网 RDP ,然后服务器开了共享?
没必要找什么 360
把该关的端口关了就行
em70
140 天前
一定要把 administrator 改名,网上很多扫描器每天在扫,字典攻击进来的
ok47
140 天前
没有开 3389 端口,在网络设备上开了 8000 端口的映射,可能是从这个端口运行的服务注入进来的,今天检查看到服务的目录下面有很多奇怪的 php 文件
ok47
140 天前
@em70 真的长记性了
ok47
140 天前
@Xmi080225 没有开 3389 端口,在网络设备上开了 8000 端口的映射,可能是从这个端口运行的服务注入进来的,今天检查看到服务的目录下面有很多奇怪的 php 文件
darklinden
140 天前
别暴露可以 rdp 的 win 机器到公网
另起个 linux 只开需要暴露的端口纯转发
如果需要公网 rdp 的,开 ssh tunnel 从另外的跳板机 rdp,跳板机禁用密码
lxyv
140 天前
全盘搜一下第一个被加密的文件修改时间,如果 log 没被加密,查一下这个时间的所有 log 。这种情况一定要找一家供应商来检查,目的不是指望他们能帮你排查出问题,而是联网之后如果出了没人能背的起的锅,你可以甩给他们。
Xmi080225
140 天前
如果非要外网用 RDP 的,把默认 3389 改掉,administrator 账户禁止远程登录,换其它账户用来远程登录
这样基本上就不会中勒索病毒了
另外不管有没有开 RDP ,重要资料一定要做好异地备份
registerrr
140 天前
如果用外网 RDP 一定一定一定不要用弱密码,密码强度务必要比默认生成的密码强度要高高高
gvdlmjwje
140 天前
我们找的深信服,他们安排人做了一个端口镜像然后分析,后面让他们搭了个 EDR 试用版,在所有服务器上安装,对勒索和漏洞的检测都有,后面就采购了一批。(非广告,你也可以找找其他 EDR 产品)
wuxiao2522
140 天前
上面对外有什么服务吗?先找到入口再说。
ok47
140 天前
@darklinden 学到了,谢谢大佬
ok47
140 天前
@lxyv 我去检查一下 log 看看。这么说的话,得找个供应商来检查一下
ok47
140 天前
@Xmi080225 学到了。但挺纳闷的,这次 3389 应该是没开,没有单独做过映射。还得排查看看
ok47
140 天前
@registerrr 事件日志里看到只暴破了十几次就进来了,但密码也是大小写数字特殊字符都有,感觉可能还有别的问题
ok47
140 天前
@gvdlmjwje 还以为深信服没有这个业务呢,那我去问问看
ok47
140 天前
@wuxiao2522 好的,我按这个思路排查看看,谢谢大佬
wedfds
140 天前
数据定时备份,加一些基础防护
illl
140 天前
找人众测一下,先找出漏洞来。
YaakovZiv
140 天前
找人排查预估是可以的,因为我上家公司做云平台运维的时候,某三线城市市政单位就是找的 360 和市公安来济南现场处理的服务器勒索病毒。后来那个城市和 360 的人还签订了三年的合作协议,买了他们的人长期在市公安

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1002212

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX