码迷,mamicode.com
首页 > 其他好文 > 详细

勒索病毒WannaCry针对服务器及其内部网络操作指引

时间:2017-05-15 22:20:13      阅读:260      评论:0      收藏:0      [点我收藏+]

标签:服务器   解决方案   网络连接   校内网   严重损失   

      5月12日,全球爆发勒索病毒WannaCry,大量企业和组织遭受大规模的勒索攻击,国内高校内网、大型企业内网和政府机构专网相继中招。

系统中毒后,会加密系统中的照片、图片、文档、压缩包、音频等几乎所有类型的文件,不法分子据此向受害者提出勒索要求,支付高额赎金才能解密恢复文件,对重要数据造成严重损失。



 

.序言

   本操作指引分为三个步骤展开:

1、隔离受感染主机

2、切断传染途径

3、修复系统隐患

.隔离受感染服务器主机

如果发现已经有主机被感染,立刻对此主机进行隔离。对于不确定是否已经被感染的主机当前阶段先不要逐一确认,请优先按照下述第三点和第四点处理。

判断方法:出现下述界面的主机


技术分享

操作方法:

    全部服务器断开网络,如:拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务,目前业界暂无有效解决方案,建议隔离放置,暂时不要做任何操作。

 

影响及可能的问题:

    业务系统无法对外访问                    

 

.切断病毒传播路径

1、切断内网传播途径

方法:

内网交换机上配置访问控制策略,禁止内网之间的135137139445端口的访问权限。具体操作方案请参照对应交换机产品的操作手册。

    针对无线网络也需要进行隔离,具体方法建议根据无线产品特性确认方案;我司建议先临时关闭无线访问,待全部终端电脑修复完毕后再开启无线。

 

影响及可能的问题:

   1)建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。

   2445等端口为网上邻居、共享应用的端口,禁用端口后对应的应用将无法

对外系统服务。例如:打印机、共享文件夹等应用。

 

 

2、切断外网传播途径

方法:

   下述两种方法根据实际情况选择一种最快的方式执行即可。

1)安全网关设备开启对应防护规则

应用层防火墙、IPS等安全网关可能集成相应的防护功能,可以通过其应用层防火的功能阻止外网到内网的传播,具体建议与对应厂商进行确认。


2)安全网关通过限制访问端口进行防护

如果无法通过上述第一点进行防护,可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问,切断外部传播途径。

 

    

.修复或规避系统漏洞方案

    完成上述两个步骤后基本切断漏洞传播的内部和外部途径,接下来将对服务器可能存在的隐患进行修复。

4.1 建议根据业务系统重要性进行修复,建议如下:

 

1、重要业务系统服务器(优先级高)

建议判断标准:生产系统、销售系统、财务系统、研发系统、供应链系统、AO系统、邮件系统等。

2、次重要业务系统服务器(优先级中)

建议判断标准:内部论坛、打印机等其他服务器。

4.2 建议对重要业务系统数据进行备份

    建议将重要数据备份到其他外部介质上,如NAS等外置存储。

4.3执行修复方案

   下述三种方案贵司根据实际情况选择一种最快、最适合的方式执行,方案执行成功后可以恢复对应的业务。

1、关闭潜在服务器的SMB服务及端口 (规避措施)

方法:

启用并打开“Windows防火墙,进入高级设置,在入站规则新建规则。

技术分享

 

 

2、使用速修复工具(规避措施)

   方法:

http://pan.baidu.com/s/1pLe64mn

 

3、修复系统漏洞(彻底修复SMB漏洞)

方法:

升级微软针对MS17-010的漏洞补丁,建议采用U盘拷贝补丁、手动更新方法完成(避免自动更新上网时带来的交叉传染隐患)。并且建议补丁下载也在相对安全的环境中进行。微软补丁参考列表如下:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

建议优先下载微软官方的补丁,如果部分补丁可能会存在下载速度较慢的情况,我司整理微软补丁并提供下载的参考如下:

https://wx.xyclouds.com/static/bjsec/patch.zip

 

影响及可能的问题:

    1、上述方案1和方案2SMB漏洞的规避方案,隐患得到规避的同时会导致系统某些服务将停止,例如:打印机、共享文件夹等应用。

    2、方案3SMB漏洞的彻底修复方案,不会对业务员造成影响。

 

 

 


本文出自 “胡斌” 博客,转载请与作者联系!

勒索病毒WannaCry针对服务器及其内部网络操作指引

标签:服务器   解决方案   网络连接   校内网   严重损失   

原文地址:http://hyperbin.blog.51cto.com/766889/1925873

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!