关于立维

  • 立维简介
  • 联系我们
  • 新闻动态
  • 技术博客
  • 加入我们
【经验谈】第三期:比特币敲诈者肆虐,Windows用户该醒醒啦!
2017-01-13 17:35:43

临近年底,估计黑客也想多赚点年终奖,比特币敲诈者病毒攻击的趋势有所增长。可能很多人还不知道此病毒,中了此病毒的,却发现深受其害。如果服务器没有做相应的备份策略,又不想交钱,那基本数据是难以找回了。


简介

比特币敲诈病毒,英文名(CTB-Locker),看英文名我们可能更能理解这个病毒的含义,该病毒自2015年在中国爆发式传播,该病毒通过远程加密用户电脑文件,从而向用户勒索赎金,用户文件只能在支付赎金后才能打开。


威胁

那这种病毒可怕么?确实很可怕。2015年,反病毒专家称,国内外尚无法破解该病毒。该病毒采用了密码学原理,这种锁设计的精妙绝伦,在理论上到现阶段都是无解的。目前在我们立维接入的客户中,几大云平台都出现过类似主机中毒的情况。而目前所有的杀毒软件和云平台是无法防御的。

从另一个角度说,这种病毒可能又不那么可怕了。因为对方只是单纯的想勒索一笔钱,而没有对服务器上的数据进行破坏。你的文件只是被加密,而没有失去,只要你在规定时间内乖乖交了赎金,还是可以恢复回来的,但如果超过时限,就永久锁定了。至于赎金费用嘛,其于2015年初传入中国,当初敲诈金额为3比特币,约合人民币6000元。现在比特币炒得厉害,1个比特币前几天都快飚1万,现在回落至6400左右。这样看来,对方也算厚道,敲诈费用改成1个比特币。也正是由于此病毒使用匿名网络和比特币匿名交易获取赎金,难以追踪和定位病毒的始作俑者,目前病毒元凶仍逍遥法外。


牢骚

该病毒横行的操作系统是Windows,很多人以为windows有图形化,部署维护起来都很方便,但本人对Windows系统向来不感冒,在业务运维中,尽可能的避免Windows系统的使用。安全性上,Windows的漏洞、木马、病毒要比Linux多很多;性能上,操作系统本身占用的资源也会比Linux多;性能分析上,虽然Windows上有很多工具,但要准确分析核心问题,效率上还是要比Linux差;自动化上,Windows批量化部署和维护存在一定难度,当然不排除高手可以实现;人才上,虽然大家都说懂Windows,但找到一个真正精通的人还是很困难。等等总总,让我们尽可能不去碰Windows的服务器。

防御

那我们又该如何防御和处理该病毒呢?对于服务器来讲,可以分为两个大类,一个是系统,另一个是应用。那么我们主要关注这两点即可。

系统层面,除必须使用的服务外尽量关闭;及时更新必须的补丁包;同时配置好防火墙策略,安装好杀毒软件。

应用层面,包含了web容器、应用代码、各类中间件、以及数据库。那就需要对各个层面都做好安全防御。正常来讲,应用主机不开放外网访问权限,所有的访问都通过前端的负载均衡设备或者软件进行转发。后端应用主机哪怕存在某些安全漏洞,那都处于内网环境那还相对好些。

方案

其实我们也知道,到目前为止,比特币敲诈者基本是无解的,说要解决病毒那是不可能的。我们能做的就是怎样更完善的加固我们的系统,并在发生问题时能够快速恢复。但对于Windows上的业务运维我们又该如何去做?


个人的总结了如下几点:

1、云主机有快照功能,以阿里云为例,可以对所有主机磁盘每天进行一次快照处理。所以建议大家使用云主机的用户,在创建完主机记得开启此选项,云平台模式是不开启的。

说明:不懂架构设计,做磁盘镜像是最简单的方式,最多损失的是一天的数据。



2、架构层面采用Nginx + IIS 应用集群的模式,前端Nginx部署在Linux主机上,同时开启POST日志。不能集群的应用采用主备模式。

说明:采用前端增加Nginx,是因为Nginx不仅可以做负载均衡,而且可以一定程度上启到WAF的作用,尤其在日志开启的状态下,发生攻击时,溯源比较方便,避免代码的漏洞导致的二次渗透。主备或集群是因为其中一台业务主机异常,至少还有一台OK,不至于造成对业务的长时间影响。

3、除Nginx主机允许开放公网80和443访问外,其他主机均禁止公网直接访问。

说明:出于安全的考虑,非Nginx主机禁止公网访问,即使系统或中间件存在漏洞,也是在内部环境,减少外部的攻击。

4、有条件的话,各个应用最好能独立主机部署。

说明:这样可避免某个业务漏洞受攻击时对其他业务造成连带影响。

5、数据库主机至少采取双机热备,有个备库。

说明:云平台上可以使用云产品,当然费用可以计算下,比自建要高出很多。SQLServer数据库在云平台上故障转移有些困难,镜像还是可以实现的。

6、资源文件做定时同步不删除备份。

说明:被感染时,资源文件都是被锁定的,所以有必要增加对资源文件的异地备份。是用rsync同步至备份服务器即可。

7、完善监控报警。

说明:中毒的主机CPU利用率都会较高,同时业务也会宕机。发现异常时第一时间报警,可以减少业务的影响。


写在最后

不是所有病毒都可以用杀毒软件,不是所有安全设备都可以抵御攻击风险,当一个无解的问题放到我们面前,我们想的更多的应该是如何去解决,而不是硬碰硬,望而生怯。

我们在做业务实施和维护的时候,切不能把一切想得过于简单。运维不是一个简单的工作,业务的稳定和安全关系到企业的根本。做好运维工作是目前很多企业都存在的问题,任何一个小的疏忽都可能带来灾难性的损失。

如果客户的业务没有提前备份规划,我想数据也是难以找回的。谁又知道病毒怎么进来的,又知道哪天又出现其他病毒呢?我们只有做好整体的运维架构,完善好细节,并在持续的维护中观察总结,才能把运维工作做好,才能保证业务的安全稳定,这才是一个企业发展起来后的根本。


想要更多了解此病毒,可以看看如下帖子:

1、小心!史上"最缺德"木马病毒:如何防比特币敲诈者?  http://netsecurity.51cto.com/art/201505/475082.htm

2、首次现身中国的CTB-Locker“比特币敲诈者”病毒分析http://blogs.360.cn/blog/ctb-locker/

以上纯属个人观点,不到之处还请大家多包涵指正。


每周五,我们将陆续为大家带来

解决各类技术难题的方法

为帮助同行的小伙伴们

解决疑难杂症

增长学习经验

摆脱思路困境

丰富实战案例

提供最好的帮助!!!


相信立维,我们还能为你做得更多!

要运维,找立维!

立维,您身边的运维专家!