记录我的一个过失-谨以此为鉴
如果同一个错误,作为运维的你没有吸取教训,犯了两次,是不是有种很想把自己埋了的感觉。没错,今天我就是这样了,无比郁闷。。。
一、事情经过
领导下发了一个紧急通知:检测到一起通过0day木马攻击事件,此木马程序会对windows操作系统产生安全危害,请利用专杀工具进行全盘查杀。然后附上专杀工具地址让我们扫描查杀,我是负责跟进及登记公司所有人的查杀结果的,另外还需要查杀各个windows服务器。
很不幸的是,我发现一台windows机器中毒了:首先内网远程登上去奇卡无比,根本动不了;接着我在ESXi 宿主服务器上重启这台机,重启完就发现所有文件被勒索加密了。我早前写过一篇文章,上一年2月份发生的,是我的办公电脑中毒。同样是因为运行ngrok远程桌面客户端暴露在公网上,同样是设置了简单的账号密码登录机器, 为什么我不改这台机器的登录密码(这台windows机器不是我设置的账号密码,前人开的虚拟机),因为我觉得不重要,里面没什么关键东西,最大的用途无非就是市场部的人周末需要连回公司的内网环境,然后在后台发新闻;还有一个东西就是有个定时任务:挂的python脚本每天导出导入报表(这个我还觉得稍微对我重要点),但未至于唤醒我的安全意识去改密码。
于是我就放任自流,抱着侥幸的态度,让它裸奔在不安全的互联网环境上。直到今天再次发生勒索事件,确实是我的问题,恩,觉得太对不起运维这个称号了,感觉公司其实很多时候是有千万种理由解雇我的。
这虚拟机重不重要,其实我也暂时未知:市场部究竟有没有放重要的文件上去。如果有,那我真的是难辞其咎了。忙活了一整天,python报表的环境算是给我搞好了,没做过详细的笔记,今天也补了;上面的python脚本幸好有在我办公电脑调试过,所以改动并不多。
希望以后真的不要再发生因为我自己的过失而导致环境需要恢复的问题!!(完全可以避免的)谨以此为鉴!!!
有时想想,一个人的运维需要做到全面全局、严谨细致去思考你负责的设备、环境和服务器有没有潜在的风险。正因为只有你自己一个人去想,想少想漏了,稍有疏忽就像今天一样会酿成大祸,其实也不太容易,但是这不是借口,还是希望自己能吸取教训,不要相信外在环境有多么安全。
有机会读到此文的读者,希望也能从中吸取经验。以人为镜,可以明得失呢~~~(反正我是失去了宝贵的时间去恢复这个报表获取环境,得的话就是经验教训吧,感谢公司不杀之恩,包容我不断试错 = =)
二、环境恢复
恢复过程也是一波三折,今晚也是抱着特累(心累+疲乏)的状态码完这堆字(昨晚想东西比较晚睡 = =)
中毒之后,肯定啥文件都没了。然后我看了该机器备份的快照,有两个,皆为2018年。选了最贴近现在的快照去恢复:一堆杂七杂八的软件,关键的软件一个都没有,什么流量监控软件卡的不要不要的。发现只有一个可怜的C盘,空间差不多耗尽,我只能在宿主机上给添加新硬盘,还得现学现用,给这台win7中毒机器添加一个E盘(添加步骤参考:https://zhidao.baidu.com/question/205169386.html)。最终因为我看到右下角有个u盘弹出的图标,脑残地点击弹出,然后这个恢复的环境被我搞坏了,虚拟机再次升天。。。 = =
(话说我也好奇,为啥会有个u盘弹出的图标,难道新添加的硬盘被当成U盘加到虚拟机上的?我记得新添加的虚拟磁盘格式用了thin模式,而不是厚置备)
升天之后,我就不敢再用这个快照恢复了,用最古老的ok快照(还真的只有一个ok备注,啥都不说 = =,是不是前人脑回路比较清奇,啥ok了都没说清楚),用了厚置备的方式去添加硬盘。因为第一次用thin模式的时候,整个win7虚拟机是有点卡的,然后换成了厚置备,厚置备在磁盘性能上相对thin是比较好的,不知道是不是因为这个原因。
这个快照真的空空如也,桌面只有两个图标。。。那会我是极其崩溃的。恢复之后什么都没有:办公软件、通讯软件。。。关键是python爬虫环境需要重新搭!!!其他倒是动动手指头不用动脑子的,第一件事就是把那简单到智障的人都能猜到的密码给改了(始终都是很悔恨,非常痛恨我自己。。。),因为远程桌面还是要用的(市场的人周末都是把自己办公电脑关机的),只能改成复杂的密码
下面就是说明怎么搞回这个环境的。
3、安装谷歌浏览器及下载对应的驱动(chromedriver)
然后就可以跑对应的获取cookie脚本和根据cookie登录系统导出报表了,注意,如果双击py文件一闪而过,看不到报错信息,可以用“Edit with IDLE” 的方式去调试,它会清晰告诉你是哪里出现问题了
4、调试脚本并扔到定时任务去
三、总结
虽然今天恢复也是挺心累的,但是至少是自己部署的机器,装了啥自己是心中有数的,最关键的是机器用起来比较顺畅(之前老是被投诉,机器卡很慢),都算是因祸得福。