Das ist also eine Anfängerfrage.
Warum führen wir eine Bereinigung auf einem mit Malware infizierten Computer durch und löschen ihn nicht direkt? Ich verstehe, dass dies in manchen Situationen nicht möglich ist (z. B. bei großen DB-Servern oder wenn wir kein Backup haben). Viele Anleitungsvideos und Tools sind jedoch für Workstations und nicht für große Server konzipiert.
Ich denke, mein Arbeitsablauf würde wahrscheinlich ungefähr so aussehen: Maschine bereinigen/Dateien wiederherstellen, die nicht gesichert wurden -> Maschine löschen/neu installieren -> Sicherung patchen/aktualisieren/wiederherstellen -> Maschine wieder zum Netzwerk hinzufügen.
Aber so wie ich es verstehe, wird, wenn möglich, nur der erste Schritt „Rechner bereinigen“ als Maßnahme zur Bekämpfung von Malware durchgeführt. Aber können wir uns voll darauf verlassen, dass im Schritt „Bereinigen“ sämtliche Malware entfernt wurde? Bin ich zu paranoid und mache zehnmal so viel Arbeit für das, was nötig ist, oder übersehe ich etwas?
Danke für deine Antworten.
Antwort1
„Viele Anleitungsvideos und Tools sind für den Arbeitsplatz konzipiert“
(Das müsste wohl heißen: fürheimBenutzer)
Eine faire Annahme für viele Heimanwender wäre, dass sie keine (regelmäßigen) Backups machen und ihr Laptop/PC ihr (einziges) Haustier ist. Ihre Zeit und Mühe sind "kostenlos" und ihre Daten und Dateien sind nurWirklichwertvoll für sie nach dieser Malware-Infektion.
Unter dieser Prämisse ist es verständlich, dass sie erhebliche Anstrengungen unternehmen, um einen Laptop oder PC wieder funktionsfähig genug zu machen, damit er ordnungsgemäß bootet und wieder nutzbar genug ist, um auf die Daten und Dateien zuzugreifen und sie wiederherzustellen.
Für viele Heimanwender ist das in einer solchen Situation schon eine beachtliche Leistung und sie sind jetzt zufrieden.
Ende des Videos.
Sie wissen es entweder nicht oder ignorieren es einfach, dass ihr System natürlich nicht „vollständig repariert“ ist und die Sauberkeit der Daten noch immer nicht gewährleistet werden kann.
Als Profi erhalten Sie möglicherweise Anweisungen von Leuten, die die Weltanschauung eines solchen Heimanwenders haben (d. h. dass die "Reparatur" und Wiederherstellung eines kompromittierten Systems eine fast unüberwindbare Aufgabe ist und immer notwendig ist, um Dateien und Daten wiederherzustellen), die glauben, dass Sie als Profi viele Dinge erreichen können, die sie nicht können (zugegebenermaßen korrigieren) und die dann (fälschlicherweise) auch glauben, dass, wenn SIE die Reparaturen durchführen, das kompromittierte System und die Datendürfendarauf vertrauen, dass es ohne Neuinstallation wieder sauber ist.
Es liegt an der IT-Abteilung bzw. an Ihnen, hier entsprechende Gegenmaßnahmen zu ergreifen.
Beispielsweise verfügen Sie theoretisch (und auch in der Realität, nicht wahr?) über geeignete Backups und/oder Datenreplikation, um RPO und RTO einzuhalten, und müssen aus Geschäftskontinuitätsgründen keine Daten von einem kompromittierten Server wiederherstellen.
Löschen Sie das angegriffene System, führen Sie Ihre automatisierten Installations- und Konfigurationsskripte aus, stellen Sie es erneut bereit und seien Sie zufrieden.
Ich denke, mein Arbeitsablauf würde wahrscheinlich ungefähr so aussehen:
Maschine bereinigen/Dateien wiederherstellen, die nicht gesichert wurden
-> Maschine löschen/neu installieren
-> Sicherung patchen/aktualisieren/wiederherstellen
-> Maschine wieder zum Netzwerk hinzufügen.
Es klingt, als würden Sie anfangen, etwas zu schreiben, was im „Unternehmensjargon“ als Incident Response Plan bezeichnet wird.
Das ist ein vernünftiger erster Anfang.Antwort von PhilL W.bereits verlinkt aufeine gute Ressource hier auf ServerFaultBeachten Sie jedoch, dass der Incident-Response-Plan nicht nur von und für einen Systemadministrator geschrieben wird, sondern auch von Ihrem Unternehmen unterstützt werden sollte. Die dort getroffenen Entscheidungen hängen eng mit Ihrem Disaster-Recovery-Plan zusammen, in dem häufig über Datensicherung und -wiederherstellung (RPO und RTO) entschieden wird.
Antwort2
Maschine bereinigen/Dateien wiederherstellen, die nicht gesichert wurden …
... einige oder alle davon könnenkompromittiert. Du solltestnurVerwenden Sie diese Dateien zu Diagnosezwecken außerhalb des Netzwerks, um die Schwachstelle aufzuspüren, durch die die Malware eingedrungen ist. Sie sollten nicht versuchen, ein laufendes System auf ihrer Grundlage neu aufzubauen.
Maschine löschen/neu installieren ... Backup patchen/aktualisieren/wiederherstellen ... Maschine wieder zum Netzwerk hinzufügen.
Dies ist eine allgemein anerkannte Methode, umUmgang mit einem kompromittierten Server, aber möglicherweise dauertlange Zeitund eine schlecht formulierte Wiederherstellungsstrategie des Unternehmens lässt dies möglicherweise nicht zu. Deshalb werden wir gebeten, die Dinge „schnell“ wieder in Ordnung zu bringen, obwohl dies mit einem inhärenten Risiko verbunden ist.