Size: a a a

2020 December 07

AS

Alexandr Savichev in Sysadminka
Может полка со снепшотами? 🙂
источник

AS

Alexandr Savichev in Sysadminka
Может ТП вендора чем поможет.
источник

AS

Alexandr Savichev in Sysadminka
Андрей
Да там 1000+ пользователей и DFS и доменная авторка на 1С и SQL и пр.
Ну... Это печаль...
источник

А

Андрей in Sysadminka
мне одно не совсем понятно, если они всю полку зашифровали, то у них доступ помимо админа АД был ...
источник

А

Андрей in Sysadminka
И выглядит это как продуманый дизастер ...
источник

А

Андрей in Sysadminka
тут кагбе СБ их должно включиться
источник

AS

Alexandr Savichev in Sysadminka
Просто взять и зашифровать полку... Это нифига не просто
источник

AS

Alexandr Savichev in Sysadminka
Это целенаправленно
источник

ДЯ

Дмитрий Яр in Sysadminka
ну почему? доступ на хост куда все хранилища на полке подключены.  шифруй не хочу
источник

ДЯ

Дмитрий Яр in Sysadminka
или на хосты.
источник

AS

Alexandr Savichev in Sysadminka
Я самые простые полки видел EMC VNX 5100, туда хрен залезть рядовой администратор СХД. Он может только менеджить разделами
источник

ДЯ

Дмитрий Яр in Sysadminka
ну вот хост на котором все разделы подключены. в чем проблема ?
источник

ДЯ

Дмитрий Яр in Sysadminka
и всякие фичи позволяющие откатится на полке могут быть отключены/не включены
источник

AS

Alexandr Savichev in Sysadminka
Если раздел выделен гипервизору, то нужно смотреть как там это реализовано у МС, у esxi фс блокирует доступ к файлам ВМ(конфиги и дата), если используются.
источник

ДЯ

Дмитрий Яр in Sysadminka
ну по идее тоже должна блокировать
источник

AS

Alexandr Savichev in Sysadminka
Тогда не понятно указание на то, что раздел стал Рав.
источник

AS

Alexandr Savichev in Sysadminka
Значит для удобства он/они были подключены к какому то хосту напрямую. Типа, а чего месту пропадать...
источник

AS

Alexandr Savichev in Sysadminka
А хост этот стал инициатором заражения.
источник

AS

Alexandr Savichev in Sysadminka
Виндовс позволяет делать грязь до сих пор... Не помню как правильно, но что то типа отложенных файловых операций. Возможно заражение было произведено ранее, а применилось после перезапуска полки... Например.... Гадание на кофейной гуще
источник

А

Андрей in Sysadminka
Я конечно не великий спец, но мне непонятно как имея так мало информации делать какие-либо выводы и предположения о характере инцидента и о возможности восстановления. Мы даже архитектуры тамошней толком не знаем.
источник