背景：

客户是地产行业客户，云服务器主要部署OA和sql server数据库，由于内部IT薄弱，没有做好安全防护，导致服务器被病毒入侵。

问题回顾：

1：服务器遭受勒索病毒攻击，导致服务器OA文件和数据库文件被锁，OA网站无法打开，数据库表无法读取。

2：业务瘫痪期间，企业无法展开工作，对企业造成无法想象后果 数据库文件一旦无法找回，整个部门甚至公司将因此停摆

3：同时D盘被勒索病毒加密，被加密文件无法使用

4：客户没有做任何备份措施，听到这个情况时，对此次事件不容乐观。

5：此情况下最常用的解决办法

5.1 寻找专业的第三方数据恢复公司，价格肯定不菲

5.2 向不法分子支付勒索费用，解锁被勒索文件，价格不菲的同时，助长不法分子的嚣张气焰

一场和时间赛跑，和勒索病毒做斗争的战斗已经打响，如何做到最快时间恢复业务，资金量投入最小，无不对运维人员的能力提出了很高的要求。

资产介绍：

1：一台服务器中毒，系统是：windows server 2012 R2。4核16G，500G硬盘

2：主要程序sql server 2008R2数据库，数据库量在100G以内

3：OA程序提供web访问

整个业务架构图：

架构图非常简单，如图：

排查思路：

1：第一时间切断公网，避免服务器再和外界对接。再开台windows服务器，通过内网连接中毒服务器。

2：查看服务器受损程度，特别是OA和数据库文件。

OA服务无法打开，数据库无法打开。备份文件被锁死，我当时觉得情况已经非常严重。

3：进一步查看sql server mdf文件是否正常。非常好，mdf文件并没有被勒索病毒加密。这为数据恢复奠定了基础。只能说，感谢勒索病毒手下留情了。

4：接下来只要获取OA程序的数据，就可以复原客户的环境。OA厂商反馈，OA深层备份目录为：D:SeeyonA8baseupload

此目录下，文件夹并没有被加密。看到这里，觉得喜出望外。

数据恢复：

既然OA程序和数据库文件都在，可以动手进行源环境恢复。

1：准备纯净系统，windows2012 R2，手动部署sql server 2008R2，厂商重新部署OA。

2：做好此初始环境的快照，避免后期问题，导致重装。

3：数据库mdf文件和OA程序文件，拷贝，查杀，md5值校验。

拷贝是直接远程拷贝的。

对mdf和OA程序文件进行病毒查杀，发现此文件并没有病毒，正常。

数据库sql mdf文件，拷贝前后md5值对比，确保数据库文件大小一致。

3.1 数据库mdf文件md5校验

3.2 OA程序容量，文件夹对比

4：数据库文件导入，数据库恢复。

5：客户OA厂商已经重新部署，可以正常访问，数据库文件内容没有丢失，数据恢复完成。

耗时：4小时。尽可能降低了客户的损失。

优化改进建议：

针对客户现在的问题，做出如下建议

1：网络架构优化

2：安全体系建立

1.网络架构优化

根据客户现有的资金投入，为其设计整体架构如下

方案简述：

1：数据库和OA应用解耦，避免相互影响

2：OA应用通过内网访问数据库服务器，避免数据库直接暴露公网情况

3：使用云原生sql server数据库，具有 99.9996% 的数据可靠性和 99.95% 的服务可用性。主从双节点数据库架构，出现故障秒级切换；具有自动备份能力，用户可通过回档功能将数据库恢复到之前的时间点

4：升级专业版主机安全，为主机提供更高级的安全防护能力

5：使用ELB负载均衡，NAT网关，提供安全网络环境

2.安全体系建立

2.1 设置定期快照策略，方便数据回滚

2.2 建议使用ELB，NAT等网络设备，加强整理架构安全

2.3 设置详细的告警策略，服务器和应用不可用时，第一时间通知管理员

2.4 配备安全产品，进一步加强网络安全，如：waf