Virus - øv

Vi har haft virus i vores installation.

Selvfølgelig er der altid noget virus, "der trænger sig på". Men med de forskellige skjold vi har; på pc'erne, på serverne, på eksternt hosted mail-gateway, er vi vænnet til at virus bliver taget før det rammer os.

Over årene har de største problemer, været enkelte brugere/pc'ere der kommer til at få installeret et browser-startside hijack eller lignende.

Slet ikke et omfang der har givet problemer i supporten - eller mere generelt i "produktionen".

En ny udgave af en gammel virus kom indenfor. Virus skjoldet så den ikke.

Så den bredte sig, rigtig meget - men det vidste vi så ikke. I første omgang forsøgte den "kun"brede sig (med held), den generede ikke nogen.

Men andre ude i verdenen må have opdaget den, for en weekend kom der denne nye virus' signatur med i de virus-definitionerne vi modtager.

Da kommunens medarbejderne mødte mandag morgen og tændte pc'erne. Ja så brød fanden løs.

Ja, antivirus programmet kunne nu detektere virus, men ikke kurere. Så hver maskine der startede op, blev "ødelagt". Så snart antivius definitioner var kommet ud til pc'en, og kørt definitionerne igennem - ja så var alle de børte programmer i karantæne, og brugerne kunne ikke bruge pc'en.

Vores support fik en lind strøm af meddelelser om forskellige former af "jeg kan ikke bruge min pc".

Forholdsvis hurtigt, mandag morgen, identificerede vi at det "var noget" der skete når antivirus blev opdateret.

Vi kunne ikke vide om det var virus - eller en fejl i antivirus.
. . .
Jeg skulle tage en beslutning. Og besluttede: rul tilbage til i fredags.

Begrundelsen var (naturligvis?): hellere leve med virus, end at være
død.

Forstået på den måde at hvis antivirussen fik lov at virke, så ville det reelt svare til at al IT var nede - set fra et bruger/ledelsessynspunkt.

Beslutningen omfattede selvfølgelig også tilkaldelse af ekstra hjælp, igangsætning af sikringsøvelser osv.

Ud over at kontakte levarandøren for støtte, og opbemande med et par konsulenter, hvordan kunne vi så "leve med virus" ?

Ja, vi skulle selvfølgelig få problemet under kontrol, afdække problemets "sideeffekter" og fjerne problemet så hurtigt som muligt.

Leverandøren (Symantec) var helt uproblematisk at få i tale, og få en dialog med deres teknikere om problemet, og om løsningsmuligheder.

Faktisk har jeg ikke oplevet nogen anden større leverandør (tag dén Microsoft, IBM,...) hvor det bare er muligt at få et problem anerkendt så smertefrit, for slet ikke at tale om at få en direkte dialog om problemet, døgnet rundt på vores præmisser.... Og leverandøren kom, både "out of band", og i almindelige releases, med opdateringer til deres definitioner.

Men Symantecs rådgivning, og sigte, var og er et andet end vores. Symantec anbefalede f.eks. som det første, at for alle pc'ere der ikke kunne med sikkerhed erklæres virus fri (og vi rullede tilbage før de fleste var checket): send folk rundt og koble pc'erne fra nettet

Ud over en ret stor indsats, så ville det uden tvivl blive en vellykket operation, hvor patienten desværre er død.

Vores første fokus blev at sikre serverne, og forhindre bagdøren i virussen i at virke. Begge dele fik vi hurtigt styr på.

Ved at trafikanalysere på vores internettrafik kunne vi se hvilke sites virussen kontaktede (over port 80, så det lignede/blandes med almindelig web læsning): Vi lukkede for trafikken til disse sites. Og vi kunne (med Symantecs hjælp) erklære serverne for virus fri (og serverne rullede IKKE tilbage i virusdefinitioner). Helt 100% erklæret fri tog et par dage, der er mange filer, mange data, og processen skulle gentages for hver ny antivirus relase vi fik mandag og tirsdag.

Nu kunne vi begynde at hjælpe de brugere der havde været uheldige at gå ud af drift om mandagen.

Brugerne der havde problemer fik nyinstallerede programpakker - hvilket tager noget tid - af mange gode og mindst lige så mange mindre gode grunde.

Efter et par dage havde vi jo fået opdateret antivirus-serveren flere gange og meldingerne var nu, at nyeste konfiguration ville fjerne virus , uden tab. Det ville vi jo gerne "rulle frem" til på alle pc'erne. Pc'erne stod jo ellers stille - virus definitionsmæssigt - til versionen inden al "balladen".

Vi satte pc'erne til at opdatere, men ikke med success. Igen gik pc'erne ud af drift når vira blev fjernet. Vi var naturligvis hurtigere til at stoppe 2. gang, men bunke af brugere der skulle hjælpes voksede igen.

Så måtte vi have kigget videre på antivirus systemet endnu grundigere, hvilket også betød at etablere realistiske test-scenarier at afprøve i.

Endelig kunne vi rulle frem igen, uden problemer. Og arbejde os igennem bunkerne.

Det tog 2½ uge før "bunkerne" også var afviklede.

Selvfølgelig er der en "hale" på afviklingen af opgaver. Enkelte problemer rundt omkring, som er opstået direkte eller indirekte som følge af vores virus problem, som har skullet og stadig skal løses efter de 2½ uge.

De direkte omkostninger vi har afholdt til konsulenter m.m. til løsning af opgaverne i forbindelse med virus angrebet beløber sig til omkring 100.000 kr.

Hertil har mine medarbejdere jo prioriteret andre opgaver væk for at arbejde med dette.

Der er superbrugere der bruger ekstra tid på IT støtte og ledere og medarbejdere der skal bruge ekstra tid for at få løst deres opgaver.

Så alt ialt en dyr omgang

MEN meget billigere, end hvis antivirussen havde fået lov at gøre sit arbejde!

(vi ser bort fra den teoretiske mulighed at der ikke fandtes virus, eller at alle skjold altid var perfekte).

Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Klavs Klavsen

Hej Lars,

Næsten alle vira jeg har set på windows platformen spreder sig på samme subnet og gennem åbne huller til windows standard porte til smb og rpc.

Jeg kan kun anbefale dig at have et ordenlitgt segmenteret netværk (det har reddet mig mange gange) og at have firewall'en på windows klienterne ordentligt sat op, så de kun kan snakke på andet end port 80/443 med de servere de skal snakke med.

Så slipper du for at virus'en kan hoppe rundt imellem alle pc'ere på netværket.

Derudover har jeg faktisk også fanget mange vira ved at log'e når nogen forsøger at connecte på nogen som helst port på mine gateways/firewalls - det kommer brugere aldrig til at gøre med vilje - så det bliver hurtigt meget tydeligt hvis der sker noget. Faktisk plejer jeg at være så "fræk" bare at lukke for forbindelsen (vha. f.ex. noget simpelt såsom portsentry) til den pc der forsøger at connecte til en gateway/firewall - og således kommer brugeren hurtigt i kontakt med supporten og man får af vide at der er noget galt med vedkommendes pc :)

efter min mening er principle of least privilege (princippet om at intet skal have flere privilegier end de har behov for) en ganske simpel måde at undgå at ting går så vidt, som det er sket her.

Jeg håber du kan bruge mine erfaringer til noget :)

  • 0
  • 0
Log ind eller Opret konto for at kommentere