|
有老板经常提出这个要安全那个要安全 问买防病毒软件/防火墙有冇用 我现在告诉你,肯定有, 2023-6-21 下午处置一突发病毒 早上有机器报告反复病毒提示几次 ![]()
下午3点前后突然收到火绒多个邮件提醒并且次数异常,立马意识到不正常, ![]()
立马远程登入客户环境 火绒后台
![]()
,发现同一时间多台机共享目录内执行文件感染同一病毒 查174服务器临时共享目录 一样中招 但无一例外都被清除,却无法查明来源 想到群晖NAS也有公用共享文件夹,也中招,那太好了,群晖有非常完整 文件访问记录 ![]()
锁定一台新来电脑IP:221 对所有exe文件写入操作。 第一步先在群晖里把221列为黑名单位拒绝访问 第二步 立马执行过去的演练计划:火绒安全 ----------- A下发所有机禁止221入站访问 B下发任务所有机下次开机“快速查杀" C下发开启所有机共享端口135-139445入站记录(确保万一有其他机器受感染可以通过入站端口反查来源) D再下发计划任务:下次开机深度查杀 E再下发一次全盘查杀 ----------------- 一顿操作过后再细看日志记录
通过记录发现17日17点最早发现零星感染,火绒已即时清除,今天21日明显增多也是即时清除。 ![]()
电话实查外部工程师带入221电脑带病毒引起 刚才下发的快速查杀逐步完毕 只有174共享的document大量受感染也清除了, ![]()
但考虑到太多太杂,174有群晖ABB全盘每天备份,干脆直接在线还原这个目录
![]()
18:00通过20日的备份替换 ![]()
至此处置完毕 观察几天,无再新增就完结了 ================ 利用到之前的安全演练过程 做到全链条处置警怚,最快速度压制病毒扩散 并且追中到源头。 同时也验证了机外备份系统的可用性 ===========================
| 
收藏