背景：

客户为房地产客户，云服务器主要部署OA和sql server数据库。由于内部IT薄弱，服务器被病毒入侵。

问题回顾：

1:服务器被勒索病毒攻击，导致服务器OA文件和数据库文件被锁定，OA网站无法打开，数据库表无法读取。

2.业务瘫痪期间，企业无法开工，对企业来说后果不堪设想。一旦数据库文件检索不到，整个部门甚至公司都会停工。

3.同时，D盘被勒索软件加密，加密文件无法使用。

4.客户没有采取任何备份措施，听到这个，他对这个事件并不看好。

5：此情况下最常用的解决办法

5.1 寻找专业的第三方数据恢复公司，价格肯定不菲

5.2 向不法分子支付勒索费用，解锁被勒索文件，价格不菲的同时，助长不法分子的嚣张气焰

一场与时间的赛跑，一场与勒索软件的战斗已经打响。如何以最快的速度、最小的资金投入恢复业务，都对运维人员的能力提出了很高的要求。

资产介绍：

1:某服务器中毒，系统为windows server 2012 R2。4核16G 500g硬盘

2.主程序sql server 2008R2数据库的数据库大小小于100G。

3.办公自动化程序提供网络访问

整个业务架构图：

架构图非常简单，如图所示：

排查思路：

1:第一时间切断公网，防止服务器与外界对接。然后打开一个windows服务器，通过内网连接中毒的服务器。

2.检查服务器损坏的程度，尤其是OA和数据库文件。

OA服务打不开，数据库打不开。备份文件被锁了，我当时就觉得情况很严重。

3.进一步检查sql server mdf文件是否正常。很好，mdf文件没有被勒索软件加密。这为数据恢复奠定了基础。这么说吧，谢谢你对勒索软件手下留情。

4.接下来，只要拿到OA程序的数据，就可以还原客户的环境。根据OA厂商反馈，OA深度备份的目录是D:\Seeyon\A8\base\upload。

在此目录中，文件夹未加密。看到这里，我喜出望外。

数据恢复：

现在OA程序和数据库文件可用，您可以开始恢复源环境。

1.准备一个纯系统，windows2012 R2，手动部署sql server 2008R2，厂家重新部署OA。

2.给这个初始环境拍个快照，避免后期出现问题，导致重装。

3.数据库mdf文件和OA程序文件，复制，查杀，md5值验证。

该拷贝是直接远程拷贝。

对mdf和OA程序文件进行病毒查杀后，发现该文件无病毒，正常。

数据库sql mdf文件，比较复制前后的md5值，确保数据库文件大小一致。

3.1数据库中mdf文件的md5验证

3.2 OA程序容量、文件夹比较

4.数据库文件导入和数据库恢复。

5.客户OA厂商已经重新部署，可以正常访问。数据库文件的内容不会丢失，并且数据恢复已完成。

时间：4小时。最大限度减少客户流失。

优化改进建议：

针对客户目前存在的问题，我们提出以下建议。

1.网络架构优化

2.安全体系的建立

1.网络架构优化

根据客户现有资金投入，总体结构设计如下。

方案简述：

1.数据库和OA应用解耦，避免相互影响。

2.OA应用通过内网访问数据库服务器，避免数据库直接暴露在公网上。

3.使用云原生sql server数据库，数据可靠性99.9996%，服务可用性99.95%。主从双节点数据库架构，故障秒级切换；通过自动备份功能，用户可以通过文件备份功能将数据库恢复到以前的时间点。

4.升级专业主机安全，为主机提供更高级的安全保护。

5.使用ELB负载平衡和NAT网关提供安全的网络环境。

2.安全体系建立

2.1设置常规快照策略以促进数据回滚。

2.2建议使用ELB、NAT等网络设备，加强终饰架构的安全性。

2.3设置详细的报警策略，在服务器和应用不可用时尽快通知管理员。

2.4配备安全产品，进一步加强网络安全，如waf。