iT邦幫忙

0

公司僅有一台DC主機中wallet病毒

日前才在這與各位前輩討論,
小的目前公司僅有一台DC主機,
且還是與鼎新DB同台,
小的進公司就與主管高層提出要買一台伺服器作五大角色轉移當成主DC。
結果就有高層在那邊擋擋擋,還嗆說專業有何用處。
結果昨晚就接到同仁打來說鼎新無法使用,
一檢視才發現中了wallet病毒,
有晚班同仁將病毒丟到共用槽間接感染的。
鼎新ERP是還好處理,鼎新請我把這台伺服器送到新店總部看有沒有辦法處理病毒。
我比較頭痛的是DC主機啊!
NAS與一些程式都有綁DC,
請教各位前輩我現在是否能先做些什麼,非常感恩。

看更多先前的討論...收起先前的討論...
lard0921 iT邦新手 5 級 ‧ 2017-04-20 08:28:18 檢舉
有無離線備份NAS資料 DC有沒有定期GHOST 如果沒有 那...先看目前防毒軟體有沒有釋放出相關解碼軟體 在沒有 只能先將目前中獎的檔案先保存起來 等日後看有無解開方法 然後其他可以重做了 或者可以打開數字網了....
高層在那邊擋擋擋,還嗆說專業有何用處。
除非有能力改變高層,不然就換一個高層吧(打開數字網)
CalvinKuo iT邦大師 7 級 ‧ 2017-04-20 11:57:05 檢舉
值得慶幸的是沒Exchange的AD,看帳號多寡先重建一個AD(2008以後的備份都是HD映像檔,沒離線備份媒體就慘了)。不然Exchange光是沒AD弄出郵件就很難了,還要恢復正常運作... (大概要專業SI來處理)
再來是檔案的還原,各伺服器與PC統重新加入AD設定權限,ERP的還原(基本上DB有備份,鼎新重灌程式應該很快)...
看上面要花錢找人弄,還是給你慢慢找人問來弄... [若是後者,沒弄好就離職小心會被告,故意損壞公司資料]
建議找廠商來估價並評估損壞程度,中毒的機器別自己搞,全部買新的伺服器來弄。
老闆找高級刑警來弄,叫我不要用。
lard0921 iT邦新手 5 級 ‧ 2017-04-20 13:38:12 檢舉
先找出勒索中獎者巴 既然老闆這麼不講理 也不需要去同情那個中獎者的"晚班同仁" 查出他上甚麼網站或者開啟甚麼信件 軟體等等.. 先保護自己為首要....
mytiny iT邦大師 6 級 ‧ 2017-04-20 20:35:32 檢舉
很多MIS工作時都是為老闆盡量省錢
把責任及工作都攬在自己身上(為五斗米折腰)
遇到好人可能得到口頭嘉獎(有把省的錢給MIS一點嗎?)
遇到壞人,做死做活都是應該,有事還要挨罵
遇到惡人就慘了,非常可能要負法律責任(上法庭都可能)
各位勞苦功高的MIS們,請多疼惜自己吧!
個人分析如下
1. 假如病毒發起者的權限對 AD 主機服務影響不大,基本上可以認定 DC 主機服務還活著
簡單說,立即建立 VM 把 整個 AD 服務轉到 VM 上面
2. 鼎新主機,基本上除了 AP 及檔案共用區會有問題之外,影響應該不大,除非你的伺服器開給別人直接用,然後權限又隨便開
基本上,所有的USER 對伺服器的系統檔只能有讀取權,不能夠有寫入權,這是基本觀念
基本上,個人在 IT 打滾 23年的經驗,老闆要的是解決問題的人,不是發出問題的人
不是專業沒用,是你的專業能不能夠快速解決問題,你前後幾個問題,都是抱怨文 ( 原諒我這麼說,難道不是嘛 )
當你上次在這裡問過類似的問題,你也得到必要的建議,之後 你幹了什麼
假如,什麼都沒有,那麼,今天問題的責任在你身上,另外,公司內的任何 IT 決策,都必須寫出一份報告書
請上級批示,一旦上級有它自己的想法,請他寫清楚,這樣就不是你的責任,這些都是保命的措施
主管老闆根本沒時間聽你說你要幹嘛,IT 本來就是費用單位,除非走 OBU 利潤中心制,否則,IT 的價值很容易被忽略
上面寫得有點多,大多是廢話,你工作的問題還是要解決,但怎麼做,先想清楚吧
感恩窮嘶發發發大的回覆,
小的承認確實有點抱怨,
而DC轉移目前其實小的一發生事情隔日早上就已經做好了。
而您提及的報告書小的確實也有寫,
只是就如日前提及高層要我提出內容要加上沒有系統時資訊人員要怎麼辦,
這我真的沒辦法,
但我也知道我還要多努力,感恩。
rodchi iT邦新手 5 級 ‧ 2017-04-21 18:14:53 檢舉
路過忍不住發言,是不是買第二台新機當DC跟中勒索真的沒有相關,
你可以在事發隔天還馬上轉移到新DC表示這其實不是關鍵問題,
不然你連轉移的機會都沒有,也表示其實事發之前你也是可以做的...
rodchi前輩,是啊!為何不能做,盜版作業系統架個VM就可以移轉啊!
那老闆一樣還是覺得無所謂啊!
只是到時有盜版問題不就又怪在IT頭上。
DC跟中毒確實沒有關係,只能怪小的功力不夠讓它中毒,
只是DC跟鼎新DB放同台,
現在出事了,我就要處理兩台,
況且若分開至少DB還可以不用開放對外。
goodnight iT邦研究生 5 級 ‧ 2017-04-21 22:43:51 檢舉
這個時候走人最爽
goodnight iT邦研究生 5 級 ‧ 2017-04-21 22:50:07 檢舉
綁架版我遇過三版
第一版, 只會感染 C 磁碟
第二版, 感染整顆硬碟
第三版, 只要是有網路分享可寫入的資料夾, 全感染, 這是我最慘的一次, 花了三天兩夜, 不眠不休的回復鼎新系統和公司的資料夾, 尤其是研發文件, 因為中毒的人是研發部
備份的做法有很多, 有最花錢的和最不花錢的, 如果連你的直屬主管都不能保護你, 那麼你要考慮離職了
感恩goodnight前輩回覆,
看來我們公司應該是第三版,
因為每個人與伺服器都會自動連上Z槽(NAS),
而Z槽有感染。
我本來是打算處理完再走,
但公司做得太決,懷疑是我做的,
出事隔天就叫我完全不要碰任何資訊設備,
並請資訊高手或刑警來查是誰做的,
然後第二天,今天就叫我說做到4月底,
剩下這段期間公司有需要我去再去。
rodchi iT邦新手 5 級 ‧ 2017-04-22 02:56:48 檢舉
我要表達的是有時問題不是表面上的,手腕跟溝通協調也很重要,如果你已在現職一段時間還無法建立老闆的信任度,你就該想想是否做事模式有可改進的地方,當然也可能你跟這公司相性根本就不合,那離開對彼此都好。既然叫MIS,管理方式是很重要的。
DC轉移只是一個舉例,有沒有第二台更不是重點,前面其實也有前輩提點了。你知道DC很重要也知道短期無法有第二台主機的情況,卻沒有先想好發生問題自己要怎麼做災害復原嗎?不是要做到發生問題無感,而是要在有感時能迅速反應,有時老闆要的就只是這樣。
如果你有預先假想過,就不會在緊急性如此高的時候還上來求助了。
0
hsiang11
iT邦新手 2 級 ‧ 2017-04-20 10:06:12
最佳解答

1.勒索病毒的話一定要把勒索畫面抓下來試算比特幣幣值 總共要花掉多少台幣要讓上頭知道
不重視IT的代價
2.鼎新絕對不要自己下去處理,裡面的資料你可能擔不起
3.DC的部分要看你有沒有備份到資料庫 如果沒有的話可能把網域打掉重練,重新請SI規劃該有的架構
全公司退網域作業,IT這段時間會很辛苦很累,一堆人要找你
4.開始投履歷和找時間面試,換工作的原因要如何說自己要好好衡量
如果真的找到決定要走,要交接多少重要事項看自己的想法
基本上這類公司已經進入戰國時代
後續會大亂很長一段時間,後面進來的IT也很容易留不下來再出走
大多數的IT做過其他公司 自然可以看出哪些公司亂搞又不想改變

看更多先前的回應...收起先前的回應...

重點是某高層剛剛還當所有人面嗆我,
之前不適叫你想沒有系統其他部門應該怎麼做嗎?

hsiang11 iT邦新手 2 級 ‧ 2017-04-20 12:34:58 檢舉

出包去跟上頭爭論這些沒用啦
一種就是換工作放這家公司去爛
一種是提出問題發生成因 和改善方案 發給一些重要人士洗洗臉
也看高層們要不要改

恩,重點是高層請刑警來,
因為就是誤會我啊!
沒做就是沒做,要查來查。

hsiang11 iT邦新手 2 級 ‧ 2017-04-20 13:10:51 檢舉

你要想辦法保護好自己了 公司不明理的話很容易對你提告
扯上官司後續你會有很多麻煩 你換工作也會一直說你壞話
基本上你的應變速度太慢
你也早就發現公司內部有問題了 沒有先把災難控制好設下防線
讓包出在你的任內 這還是會傷害到自己
這部分要反省 很多IT都是走人之後 公司才開始爆發出問題

感恩hsiang11前輩回饋。
我一進這公司就一直被他人看不起阿!
要我撈報表,不給需求還說之前MIS都這樣提供阿!
然後還要邊做邊修很多洞。
今天會發生這事情是因為業務晚班的緣故,
且是勒索病毒造成。
當下我接收到通知就把感染的主機與NAS關機且斷網了。
只是感染的程度我也無法控制,
再者DC備機我也有提,NAS備機也有提。
會出什麼問題也都有提且提供錄影。
但完全沒人理會我。

日前會議還被高層說專業有何用,
不明事理當著全主管的面嗆我,
就因為某部門主管故意不給我需求撈資料。
還直接說前前MIS要資料都馬上給。

恩,光隻字片語真的無法好好跟各前輩說明,
只能說以後看到這樣的公司就要快逃阿!
當初還想著要把它整個建立完整。

hsiang11 iT邦新手 2 級 ‧ 2017-04-20 14:15:57 檢舉

快把一些有關人的mail保存檔案收下來做證據 再轉寄匯出到自己私人信箱
甚至什麼錄影的 小心被銷毀證據
不要被弄到了 公司有動作 很快你的管理權限和帳號都會不見

CalvinKuo iT邦大師 7 級 ‧ 2017-04-21 09:55:09 檢舉

問題是他現在也不知道是哪台中毒引起的... 更何況是保存對他有利的證據。 加密病毒應該有一段時間開始加密才發作的,發作的點跟感染時間應該不同。

0
WilliamHuang
iT邦大師 1 級 ‧ 2017-04-20 11:53:06

看標題以為是有很多台DC主機
僅有一台中毒
/images/emoticon/emoticon37.gif
想說還好有別台
進來看悲劇了
僅有一台~~~

看更多先前的回應...收起先前的回應...

看到聊天室我只能說
若是我會拿一台閒置PC當備援
我常說你要全斷還是慢
畢竟這邊不包括訓練
提了有沒有記在心上還是另一回事
/images/emoticon/emoticon70.gif

CalvinKuo iT邦大師 7 級 ‧ 2017-04-20 12:25:42 檢舉

應該是P2V備援比較好啦...
弄台VMware ESXi,最少每個月把實體機P2V過去(但是鼎新有鎖,所以授權沒法起動,至少AD OK)....
真的掛了再弄台好的伺服器,順便買VMware授權(為了備份)...
不過事後諸葛也沒用啦...

我的意思是要告訴樓主
自己要有作為
至少拿一台閒置PC當備援
我真的很不喜歡斷章取義
/images/emoticon/emoticon41.gif

WilliamHuang前輩,
其實是有的,今早就有硬拿一台機器,
裝vm player將DC五大角色轉移了,
只是發生這種事情不去檢討還先懷疑怪資訊,
這公司真的該走了。

記得 這台要留著
或者硬碟留著
建議做子系備援
至少有進步
公司不花錢正常
公司想花錢要慶幸感恩
老闆懂主管懂你就不在這了
/images/emoticon/emoticon41.gif

kenny iT邦新手 5 級 ‧ 2017-04-20 17:49:29 檢舉

老闆種是要吃鱉才會願意相信IT的重要

hsiang11 iT邦新手 2 級 ‧ 2017-04-20 18:04:57 檢舉

老闆吃鱉 IT也只能吃屎啦 資訊單位不被信任 後續會很難過

剛高手查過了,說是DC與DB這台本身有人操作感染的,
而這台目前會操作的就只有IT我,
但沒做就是沒做,
所以我也想收集對自己有利的證據,
第一、這台DC有開放對外。
第二、我的PPTP防火牆紀錄顯示我的帳號登入事於發生事情後才登入。
第三、病毒發作期間也是我與老婆在家顧小孩的期間。
有何辦法再證明自己是清白的,
做IT做到這樣,真的很委屈阿Orz

公司中過勒索病毒,是user的電腦才去感染共同資料的,你們是主機本身就感染病毒嗎?不然應該會知道是哪一台中的

CalvinKuo iT邦大師 7 級 ‧ 2017-04-21 00:26:57 檢舉

wallet病毒 可以透過RDP進入伺服器,那樣的話會不會是你把防火牆開洞讓外面主機可以用RDP直接連到DC與ERP主機,如果攻進來的駭客把DC的Log與防火牆跟駭客登入相關的Log都刪除,恐怕你跳到黃河都洗不清。就算找到Log,你的管理責任也難辭其咎。
https://www.zhihu.com/question/46715248

就算你搞了不在場證明,也沒辦法證明你是否排程執行病毒程式,或將病毒程式延時發作,還有防毒軟體為何沒正常運作。因現場已經破壞掉了,要找對你有利的證據很難。
就算當初老闆花錢給你買DC伺服器,可以保證這種事情不發生嗎?只是DC沒全掛而已吧。
ERP主機要給外部人員連線可以用 鼎新的客服連線精靈、TeamViewer之類軟體,切記用完就要關掉...

pis520 iT邦新手 4 級 ‧ 2017-04-23 19:53:35 檢舉

想必...你的老闆連防火牆跟防毒軟體都省了吧?!!/images/emoticon/emoticon16.gif

賓果,是的。
但剛進來且又是小公司,也只能一步步做。
不過既然都要走了,後續也不干我的事了。

0
ak02
iT邦研究生 4 級 ‧ 2017-04-21 09:12:32

個人覺的可以公司最大問題就是人了
如果待不下去
能走人就走人吧
省的夜長夢多

0
kiwiaa
iT邦研究生 4 級 ‧ 2017-04-21 10:10:51

建議另一個方法:
既然你要買新硬體了,直接在該新主機安裝DC,腳色轉換有其風險,如果只有一步舊主機,就捨棄吧,但舊主機記得先退出 (或取消) 網域、IP 也先換掉,新主機直接用原網域名稱重新建置即可
有時放棄舊的,會比轉換得到更大效益,參考吧

感恩kiwiaa大,
只是公司完全沒有要買新硬體的意願喔!
目前是已經有暫時轉換到VM了,
角色也都順利轉移了,測試也都OK。
但都還沒設定完user,
老闆就叫我不要再動所有設備了,
像防賊似的。

kiwiaa iT邦研究生 4 級 ‧ 2017-04-23 19:31:43 檢舉

人數不多的話,可以先用等級高一點的PC擋著點,把 AD 跟 ERP 放同一部 (不知是否還有其他,理論上至少應該還有 DNS & DHCP),風險倍數增高

kiwiaa前輩,您真厲害,
DNS也是在同一台,倒是DHCP就不是了。

我要發表回答

立即登入回答