iT邦幫忙

0

公司僅有一台DC主機中wallet病毒

日前才在這與各位前輩討論,
小的目前公司僅有一台DC主機,
且還是與鼎新DB同台,
小的進公司就與主管高層提出要買一台伺服器作五大角色轉移當成主DC。
結果就有高層在那邊擋擋擋,還嗆說專業有何用處。
結果昨晚就接到同仁打來說鼎新無法使用,
一檢視才發現中了wallet病毒,
有晚班同仁將病毒丟到共用槽間接感染的。
鼎新ERP是還好處理,鼎新請我把這台伺服器送到新店總部看有沒有辦法處理病毒。
我比較頭痛的是DC主機啊!
NAS與一些程式都有綁DC,
請教各位前輩我現在是否能先做些什麼,非常感恩。

看更多先前的討論...收起先前的討論...
lard0921 iT邦新手 5 級 ‧ 2017-04-20 08:28:18 檢舉
有無離線備份NAS資料 DC有沒有定期GHOST 如果沒有 那...先看目前防毒軟體有沒有釋放出相關解碼軟體 在沒有 只能先將目前中獎的檔案先保存起來 等日後看有無解開方法 然後其他可以重做了 或者可以打開數字網了....
高層在那邊擋擋擋,還嗆說專業有何用處。
除非有能力改變高層,不然就換一個高層吧(打開數字網)
CalvinKuo iT邦大師 7 級 ‧ 2017-04-20 11:57:05 檢舉
值得慶幸的是沒Exchange的AD,看帳號多寡先重建一個AD(2008以後的備份都是HD映像檔,沒離線備份媒體就慘了)。不然Exchange光是沒AD弄出郵件就很難了,還要恢復正常運作... (大概要專業SI來處理)
再來是檔案的還原,各伺服器與PC統重新加入AD設定權限,ERP的還原(基本上DB有備份,鼎新重灌程式應該很快)...
看上面要花錢找人弄,還是給你慢慢找人問來弄... [若是後者,沒弄好就離職小心會被告,故意損壞公司資料]
建議找廠商來估價並評估損壞程度,中毒的機器別自己搞,全部買新的伺服器來弄。
老闆找高級刑警來弄,叫我不要用。
lard0921 iT邦新手 5 級 ‧ 2017-04-20 13:38:12 檢舉
先找出勒索中獎者巴 既然老闆這麼不講理 也不需要去同情那個中獎者的"晚班同仁" 查出他上甚麼網站或者開啟甚麼信件 軟體等等.. 先保護自己為首要....
mytiny iT邦大師 1 級 ‧ 2017-04-20 20:35:32 檢舉
很多MIS工作時都是為老闆盡量省錢
把責任及工作都攬在自己身上(為五斗米折腰)
遇到好人可能得到口頭嘉獎(有把省的錢給MIS一點嗎?)
遇到壞人,做死做活都是應該,有事還要挨罵
遇到惡人就慘了,非常可能要負法律責任(上法庭都可能)
各位勞苦功高的MIS們,請多疼惜自己吧!
個人分析如下
1. 假如病毒發起者的權限對 AD 主機服務影響不大,基本上可以認定 DC 主機服務還活著
簡單說,立即建立 VM 把 整個 AD 服務轉到 VM 上面
2. 鼎新主機,基本上除了 AP 及檔案共用區會有問題之外,影響應該不大,除非你的伺服器開給別人直接用,然後權限又隨便開
基本上,所有的USER 對伺服器的系統檔只能有讀取權,不能夠有寫入權,這是基本觀念
基本上,個人在 IT 打滾 23年的經驗,老闆要的是解決問題的人,不是發出問題的人
不是專業沒用,是你的專業能不能夠快速解決問題,你前後幾個問題,都是抱怨文 ( 原諒我這麼說,難道不是嘛 )
當你上次在這裡問過類似的問題,你也得到必要的建議,之後 你幹了什麼
假如,什麼都沒有,那麼,今天問題的責任在你身上,另外,公司內的任何 IT 決策,都必須寫出一份報告書
請上級批示,一旦上級有它自己的想法,請他寫清楚,這樣就不是你的責任,這些都是保命的措施
主管老闆根本沒時間聽你說你要幹嘛,IT 本來就是費用單位,除非走 OBU 利潤中心制,否則,IT 的價值很容易被忽略
上面寫得有點多,大多是廢話,你工作的問題還是要解決,但怎麼做,先想清楚吧
感恩窮嘶發發發大的回覆,
小的承認確實有點抱怨,
而DC轉移目前其實小的一發生事情隔日早上就已經做好了。
而您提及的報告書小的確實也有寫,
只是就如日前提及高層要我提出內容要加上沒有系統時資訊人員要怎麼辦,
這我真的沒辦法,
但我也知道我還要多努力,感恩。
rodchi iT邦新手 5 級 ‧ 2017-04-21 18:14:53 檢舉
路過忍不住發言,是不是買第二台新機當DC跟中勒索真的沒有相關,
你可以在事發隔天還馬上轉移到新DC表示這其實不是關鍵問題,
不然你連轉移的機會都沒有,也表示其實事發之前你也是可以做的...
rodchi前輩,是啊!為何不能做,盜版作業系統架個VM就可以移轉啊!
那老闆一樣還是覺得無所謂啊!
只是到時有盜版問題不就又怪在IT頭上。
DC跟中毒確實沒有關係,只能怪小的功力不夠讓它中毒,
只是DC跟鼎新DB放同台,
現在出事了,我就要處理兩台,
況且若分開至少DB還可以不用開放對外。
goodnight iT邦研究生 4 級 ‧ 2017-04-21 22:43:51 檢舉
這個時候走人最爽
goodnight iT邦研究生 4 級 ‧ 2017-04-21 22:50:07 檢舉
綁架版我遇過三版
第一版, 只會感染 C 磁碟
第二版, 感染整顆硬碟
第三版, 只要是有網路分享可寫入的資料夾, 全感染, 這是我最慘的一次, 花了三天兩夜, 不眠不休的回復鼎新系統和公司的資料夾, 尤其是研發文件, 因為中毒的人是研發部
備份的做法有很多, 有最花錢的和最不花錢的, 如果連你的直屬主管都不能保護你, 那麼你要考慮離職了
感恩goodnight前輩回覆,
看來我們公司應該是第三版,
因為每個人與伺服器都會自動連上Z槽(NAS),
而Z槽有感染。
我本來是打算處理完再走,
但公司做得太決,懷疑是我做的,
出事隔天就叫我完全不要碰任何資訊設備,
並請資訊高手或刑警來查是誰做的,
然後第二天,今天就叫我說做到4月底,
剩下這段期間公司有需要我去再去。
rodchi iT邦新手 5 級 ‧ 2017-04-22 02:56:48 檢舉
我要表達的是有時問題不是表面上的,手腕跟溝通協調也很重要,如果你已在現職一段時間還無法建立老闆的信任度,你就該想想是否做事模式有可改進的地方,當然也可能你跟這公司相性根本就不合,那離開對彼此都好。既然叫MIS,管理方式是很重要的。
DC轉移只是一個舉例,有沒有第二台更不是重點,前面其實也有前輩提點了。你知道DC很重要也知道短期無法有第二台主機的情況,卻沒有先想好發生問題自己要怎麼做災害復原嗎?不是要做到發生問題無感,而是要在有感時能迅速反應,有時老闆要的就只是這樣。
如果你有預先假想過,就不會在緊急性如此高的時候還上來求助了。
0
hsiang11
iT邦研究生 4 級 ‧ 2017-04-20 10:06:12
最佳解答

1.勒索病毒的話一定要把勒索畫面抓下來試算比特幣幣值 總共要花掉多少台幣要讓上頭知道
不重視IT的代價
2.鼎新絕對不要自己下去處理,裡面的資料你可能擔不起
3.DC的部分要看你有沒有備份到資料庫 如果沒有的話可能把網域打掉重練,重新請SI規劃該有的架構
全公司退網域作業,IT這段時間會很辛苦很累,一堆人要找你
4.開始投履歷和找時間面試,換工作的原因要如何說自己要好好衡量
如果真的找到決定要走,要交接多少重要事項看自己的想法
基本上這類公司已經進入戰國時代
後續會大亂很長一段時間,後面進來的IT也很容易留不下來再出走
大多數的IT做過其他公司 自然可以看出哪些公司亂搞又不想改變

看更多先前的回應...收起先前的回應...

重點是某高層剛剛還當所有人面嗆我,
之前不適叫你想沒有系統其他部門應該怎麼做嗎?

hsiang11 iT邦研究生 4 級 ‧ 2017-04-20 12:34:58 檢舉

出包去跟上頭爭論這些沒用啦
一種就是換工作放這家公司去爛
一種是提出問題發生成因 和改善方案 發給一些重要人士洗洗臉
也看高層們要不要改

恩,重點是高層請刑警來,
因為就是誤會我啊!
沒做就是沒做,要查來查。

hsiang11 iT邦研究生 4 級 ‧ 2017-04-20 13:10:51 檢舉

你要想辦法保護好自己了 公司不明理的話很容易對你提告
扯上官司後續你會有很多麻煩 你換工作也會一直說你壞話
基本上你的應變速度太慢
你也早就發現公司內部有問題了 沒有先把災難控制好設下防線
讓包出在你的任內 這還是會傷害到自己
這部分要反省 很多IT都是走人之後 公司才開始爆發出問題

感恩hsiang11前輩回饋。
我一進這公司就一直被他人看不起阿!
要我撈報表,不給需求還說之前MIS都這樣提供阿!
然後還要邊做邊修很多洞。
今天會發生這事情是因為業務晚班的緣故,
且是勒索病毒造成。
當下我接收到通知就把感染的主機與NAS關機且斷網了。
只是感染的程度我也無法控制,
再者DC備機我也有提,NAS備機也有提。
會出什麼問題也都有提且提供錄影。
但完全沒人理會我。

日前會議還被高層說專業有何用,
不明事理當著全主管的面嗆我,
就因為某部門主管故意不給我需求撈資料。
還直接說前前MIS要資料都馬上給。

恩,光隻字片語真的無法好好跟各前輩說明,
只能說以後看到這樣的公司就要快逃阿!
當初還想著要把它整個建立完整。

hsiang11 iT邦研究生 4 級 ‧ 2017-04-20 14:15:57 檢舉

快把一些有關人的mail保存檔案收下來做證據 再轉寄匯出到自己私人信箱
甚至什麼錄影的 小心被銷毀證據
不要被弄到了 公司有動作 很快你的管理權限和帳號都會不見

CalvinKuo iT邦大師 7 級 ‧ 2017-04-21 09:55:09 檢舉

問題是他現在也不知道是哪台中毒引起的... 更何況是保存對他有利的證據。 加密病毒應該有一段時間開始加密才發作的,發作的點跟感染時間應該不同。

WilliamHuang
iT邦研究生 1 級 ‧ 2017-04-20 11:53:06
【**此則訊息已被站方移除**】
0
ak02
iT邦研究生 3 級 ‧ 2017-04-21 09:12:32

個人覺的可以公司最大問題就是人了
如果待不下去
能走人就走人吧
省的夜長夢多

0
kiwiaa
iT邦研究生 3 級 ‧ 2017-04-21 10:10:51

建議另一個方法:
既然你要買新硬體了,直接在該新主機安裝DC,腳色轉換有其風險,如果只有一步舊主機,就捨棄吧,但舊主機記得先退出 (或取消) 網域、IP 也先換掉,新主機直接用原網域名稱重新建置即可
有時放棄舊的,會比轉換得到更大效益,參考吧

感恩kiwiaa大,
只是公司完全沒有要買新硬體的意願喔!
目前是已經有暫時轉換到VM了,
角色也都順利轉移了,測試也都OK。
但都還沒設定完user,
老闆就叫我不要再動所有設備了,
像防賊似的。

kiwiaa iT邦研究生 3 級 ‧ 2017-04-23 19:31:43 檢舉

人數不多的話,可以先用等級高一點的PC擋著點,把 AD 跟 ERP 放同一部 (不知是否還有其他,理論上至少應該還有 DNS & DHCP),風險倍數增高

kiwiaa前輩,您真厲害,
DNS也是在同一台,倒是DHCP就不是了。

我要發表回答

立即登入回答