聽聞一場 IT 複合災難

網路商片面改了它自己機房的設定,讓企業這端在找尋問題時,最終造成年久的 Firewall 損毀。

Firewall 損毀導致多台古老的 Windows 2000 被網路攻擊而紛紛中毒

中毒導致系統損毀而遺失了古老 ASP 程式在伺服器的各種設定

Firewall 雖然裝好,重新安裝的 Windows 2000 仍被內部未解的病毒攻擊

SQL Server 的 sa 密碼過於簡單,Windows Administrators 群組的帳號加入太多一般帳號,導致木馬可以侵入。木馬透過 SQL Server 的 xp_cmdshell 呼叫 ftp,下載更多的程式

除企業對外的商務受到影響,一切都發生在月底結帳與年中人事考核期間,很難隔離多個系統,多台伺服器

 

需要隔離安裝建在虛擬環境上的 Windows 2000,並 Update 到最新的 Hotfix,上線若被攻擊陣亡,可以立刻換備份的虛擬機 image

由於機器沒有預設的防火牆,需設定 Windows 2000 網卡本身可走的協定與 Port,降低被攻擊面

因為有不同部門與公司跨系統存取,無法任意更改 sa 密碼與設定白名單。病毒居然會自動為 SQL 2000 加 Job,因此改了 msdb的sp_add_job 系統預存程序的名稱。病毒(我懷疑是木馬…但沒有網路監控的分析,無從證明)同時改了 sa 帳號的密碼,同時改掉 master 系統資料庫的 sp_password 系統預存程序,因此重新建立這個系統預存程序。

移除 SQL 2000 的 xp_cmdshell

需要等解毒廠家提供未解病毒的解決辦法

需要 IT 人員多天不眠不休地救防火牆、伺服器、測設定、重製軟體與資料庫…夢靨是裝好了,但又自動掛了…

因為所有的電腦等待解毒碼,拖垮了提供解毒碼的伺服器,導致所有的電腦無法登入

 

幸好系統資料庫、程式碼都有備份,因為病毒會大量加入病毒本身的 DLL,讓人分不清哪個是正常的應用程式 DLL,透過程式碼可以重建

 

一連串的複合式災難,讓 IT 人心力交瘁…

 

如何讓災難與攻擊斷鍊,又如何建立多重防護網,乃至於在難以演練的複合災難,沉著應變…

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s

%d 位部落客按了讚: