背景：

客戶是地產(chǎn)行業(yè)客戶，云服務器主要部署OA和sql server數(shù)據(jù)庫，由于內(nèi)部IT薄弱，沒有做好安全防護，導致服務器被病毒入侵。

問題回顧：

1：服務器遭受勒索病毒攻擊，導致服務器OA文件和數(shù)據(jù)庫文件被鎖，OA網(wǎng)站無法打開，數(shù)據(jù)庫表無法讀取。

2：業(yè)務癱瘓期間，企業(yè)無法展開工作，對企業(yè)造成無法想象后果數(shù)據(jù)庫文件一旦無法找回，整個部門甚至公司將因此停擺

3：同時D盤被勒索病毒加密，被加密文件無法使用

4：客戶沒有做任何備份措施，聽到這個情況時，對此次事件不容樂觀。

5：此情況下最常用的解決辦法

5.1 尋找專業(yè)的第三方數(shù)據(jù)恢復公司，價格肯定不菲

5.2 向不法分子支付勒索費用，解鎖被勒索文件，價格不菲的同時，助長不法分子的囂張氣焰

一場和時間賽跑，和勒索病毒做斗爭的戰(zhàn)斗已經(jīng)打響，如何做到最快時間恢復業(yè)務，資金量投入最小，無不對運維人員的能力提出了很高的要求。

資產(chǎn)介紹：

1：一臺服務器中毒，系統(tǒng)是：windows server 2012 R2。4核16G，500G硬盤

2：主要程序sql server 2008R2數(shù)據(jù)庫，數(shù)據(jù)庫量在100G以內(nèi)

3：OA程序提供web訪問

整個業(yè)務架構圖：

架構圖非常簡單，如圖：

windows系統(tǒng)中毒，sql server數(shù)據(jù)庫文件恢復搶救和OA程序文件恢復

排查思路：

1：第一時間切斷公網(wǎng)，避免服務器再和外界對接。再開臺windows服務器，通過內(nèi)網(wǎng)連接中毒服務器。

2：查看服務器受損程度，特別是OA和數(shù)據(jù)庫文件。

OA服務無法打開，數(shù)據(jù)庫無法打開。備份文件被鎖死，我當時覺得情況已經(jīng)非常嚴重。

3：進一步查看sql server mdf文件是否正常。非常好，mdf文件并沒有被勒索病毒加密。這為數(shù)據(jù)恢復奠定了基礎。只能說，感謝勒索病毒手下留情了。

4：接下來只要獲取OA程序的數(shù)據(jù)，就可以復原客戶的環(huán)境。OA廠商反饋，OA深層備份目錄為：D:SeeyonA8baseupload

此目錄下，文件夾并沒有被加密。看到這里，覺得喜出望外。

數(shù)據(jù)恢復：

既然OA程序和數(shù)據(jù)庫文件都在，可以動手進行源環(huán)境恢復。

1：準備純凈系統(tǒng)，windows2012 R2，手動部署sql server 2008R2，廠商重新部署OA。

2：做好此初始環(huán)境的快照，避免后期問題，導致重裝。

3：數(shù)據(jù)庫mdf文件和OA程序文件，拷貝，查殺，md5值校驗。

拷貝是直接遠程拷貝的。

對mdf和OA程序文件進行病毒查殺，發(fā)現(xiàn)此文件并沒有病毒，正常。

數(shù)據(jù)庫sql mdf文件，拷貝前后md5值對比，確保數(shù)據(jù)庫文件大小一致。

3.1 數(shù)據(jù)庫mdf文件md5校驗

3.2 OA程序容量，文件夾對比

4：數(shù)據(jù)庫文件導入，數(shù)據(jù)庫恢復。

5：客戶OA廠商已經(jīng)重新部署，可以正常訪問，數(shù)據(jù)庫文件內(nèi)容沒有丟失，數(shù)據(jù)恢復完成。

耗時：4小時。盡可能降低了客戶的損失。

優(yōu)化改進建議：

針對客戶現(xiàn)在的問題，做出如下建議

1：網(wǎng)絡架構優(yōu)化

2：安全體系建立

1.網(wǎng)絡架構優(yōu)化

根據(jù)客戶現(xiàn)有的資金投入，為其設計整體架構如下

方案簡述：

1：數(shù)據(jù)庫和OA應用解耦，避免相互影響

2：OA應用通過內(nèi)網(wǎng)訪問數(shù)據(jù)庫服務器，避免數(shù)據(jù)庫直接暴露公網(wǎng)情況

3：使用云原生sql server數(shù)據(jù)庫，具有 99.9996% 的數(shù)據(jù)可靠性和 99.95% 的服務可用性。主從雙節(jié)點數(shù)據(jù)庫架構，出現(xiàn)故障秒級切換；具有自動備份能力，用戶可通過回檔功能將數(shù)據(jù)庫恢復到之前的時間點

4：升級專業(yè)版主機安全，為主機提供更高級的安全防護能力

5：使用ELB負載均衡，NAT網(wǎng)關，提供安全網(wǎng)絡環(huán)境