主要问题还是远程桌面端口?
【 在 ackerx (everything) 的大作中提到: 】
说下经历,数据多的个人建议看看
1、开放了RDP端口
弄到了公网IP,为方便远程回家开了3389,没及时关。但有密码保护。
2、遭遇病毒
回家发现电脑卡,很多文件被改名,杀软被卸载,查看进程有个高活动进程。顺手关掉。
PS,事后才知道是我用于数据分析的小文件帮我争取了时间,我有几万个小文件,病毒加密这些文件花了不少时间。
3、应急处理
判断中毒了,拔电源。
拔网线,本机与其他设备作物理隔离。后续操作至数据恢复全程在此环境下操作。
应急U盘进系统,寻找并删除病毒文件。
4、数据盘点
逐一盘点损失了哪些数据,我总共大概有40万个文件,损坏了10万+,逐一分析哪些是需要的,哪些不需要。需要的存在一空的硬盘里,贴上标签等日后兴许能恢复。最终看,除去有备份的,剩下损失的多是一些数据实验的过程文件,还好。
后续继续建立文件清单,用于数据恢复。
PS,后来看,病毒入侵到我发现只过了10分钟左右,但就损失了这么多文件,真是险。
5、数据恢复
全盘格式化,重装系统。视情况做一次全盘扫描,避免病毒伤害冷备文件。
从冷备盘(全村的希望 :D )中恢复数据。
恢复完成后全盘扫描病毒。确认没病毒木马再恢复正常使用。
6、完善备份体系
学习了备份321原则:3份数据,2种介质,1份异地。结合实际,做如下管理:
工作站中设置热数据区、备份数据区,热=>备份。
NAS中设置私有云备份区,专用账户写,平时使用低权限账户读。
另有一台跑应用的服务器,做私有云的镜像。做季度备份。
再拿一块硬盘,做私有云的离线备份。一年同步一次。
天翼云,日常备份一些成果物。
7、防范措施
rdp端口仅在使用时开放,使用完关闭。路由器使用强口令保护。
设置蜜罐,设监控程序,若蜜罐损坏直接断电。
--
修改:ackerx FROM 120.36.23.*
FROM 111.197.200.*