我的建议是，赶紧咨询你的律师、会计师、保险公司，还有新的IT服务商。

伙计，我真想杀个人，就为了能有个永远满溢的咖啡壶。真的，谁能告诉我世界 Boss 在哪？ **后续剧情：律师、会计师、保险公司、新 IT 公司，一个都不能少！** 这桩倒霉的 RDP 服务器事件，还是绕不开那个白痴技术员。 自从和律师约了时间，我就开始在日历上记下了一堆之后要打的电话，必须得在面谈之后。这玩意儿迟早有用。我下楼给自己倒了杯加了浓缩咖啡和威士忌的 HEB 哥伦比亚咖啡。 打了几个工单之后，我的手机响了。奇怪，我明明让律师打我的 Google Voice 号码啊。更奇怪的是，来电显示是休斯顿的区号。我接了起来： “我是杰克。” “杰克你好，我是 $DENTIST 牙科诊所的 Sarah $USER。最近怎么样？” “我想涨工资，想喝咖啡，想休假，最好按这个顺序来。你呢？” “我挺好的。不好意思打扰你，不过 $HOUSTON_MSP 的 $BEN'S_BOSS 给了我你的电话。” 我不由自主地握紧了拳头，放下咖啡杯。“我和他以前做过生意，有什么事吗？” “我们这边出了点状况，我们的 IT 消失了，电话也打不通。情况紧急，所以…想问问你能不能帮忙看看？” “你们的 IT 是谁？” Sarah 报出了那个因为重用密码而被 Ben 的 MSP 开除的技术员的名字，就是他搞出了之前的漏洞！我心想，他老板为什么会找我？我明确表示过我只是帮他们解决一次，不会做任何可能影响我现在工作的事情。突然我明白了，事情肯定很糟糕，Ben 是想避免责任。如果他的员工私下接活，客户还打公司的号码求助，那可能就意味着公司也有责任，大家可能会觉得他的公司也参与其中。 我叹了口气。“我现在不接新客户。我之前帮他们只是提供咨询服务，而且针对的是非常特殊的情况。不过我可以看看你们的情况，然后给你们一些建议。如果我知道休斯顿有什么合适的 MSP 或技术支持，我会推荐给你们。” “太感谢了！我们给他发了问题的照片，能也发给你看看吗？”我给了她我的邮箱，她发来了一张照片。照片上是一台老旧的戴尔 LCD 显示器，上面写着：“你的文件已被加密，请在 48 小时内发送邮件到......”我耸耸肩，这只是 CryptoWall，没啥大不了的，就是费时间。她给了我 TeamViewer 的 ID 和密码，我远程登录了那台机器。 奇怪的是，加密程序就在桌面上，名字是 PAYLOAD_CRYPTO 加上一串随机字母和数字。我检查了任务管理器，结束了那个进程，然后记下了文件名中的邮件地址，果然是个免费的 india.com 邮箱。我查看了最老的 DECRYPT_INSTRUCTIONS 文件的创建时间，是 40 个小时前。也就是说，这事发生在周六晚上？等等，周六晚上？ “问个问题，我们快到最后期限了。周六晚上是谁在用这台机器？” “没人用啊，医生有自己的电脑。非工作时间没人会远程登录服务器。” 我瞬间感觉血液都凝固了。“服务器？”我打开系统控制面板，果然是 Server 2008 R2。服务器管理器显示着它的角色：Active Directory、DHCP、DNS、文件共享、打印共享……好吧，就是一个标准的 SMB 环境，没什么特别的。“他们为什么要远程登录服务器？” “我们所有的图表都存在这台服务器上。所以情况紧急，明天有病人要做手术，我们没法进入病历软件。” 不！ 不，不，不！ 不要啊！ 我看着服务器管理器，找了个借口，点了静音，然后破口大骂。远程桌面服务已经安装了。 “好吧，平时是谁远程登录，用什么用户名？” “我们都用同一个用户名，叫 Staff。密码是 'password1'。” 我检查了一下登录的账户，果然是 Staff，而且拥有服务器的本地管理员权限。我简直想杀人，幸好我的小猫跳到我的椅子背上，开始啃我的头发和耳朵（这绝对是缓解怒火的绝招）。“这谁设置的？” “是 $IDIOT_TECH。他从我们开业起就是我们的 IT。” 我心想，好吧，就这么定了，别想着让他消失了，直接找人来收尸吧！ “澄清一下，你们是 $BENS_BOSS 或 $MSP 的客户吗？” “不是，我们从来不是他们的客户。$IDIOT_TECH 几周前说过，如果他出了什么事，他们会接手他所有的客户。但是我们打电话过去， $BENS_BOSS 说他们暂时不接新客户，而且情况紧急，所以他给了我他认识的最好的信息安全专家的电话。” 先不说是不是恭维，我已经快要忍无可忍了。“好吧，让我查一下……”我打开了网关的 IP 地址，IE 弹出一个窗口，要求输入用户名和密码。 等等，为什么显示“服务器 192.168.1.1 (WRT54G) 需要用户名和密码？” 我试了试默认的用户名和密码，竟然成功了！我感觉有什么东西在我体内碎裂了。我看着端口转发表，3389 端口（远程桌面）果然被转发到了服务器的 IP 地址。我在开始菜单里看到它运行着 AppAssure，管理控制台是本地的，也就是说存储库驱动器……哦，不！ 果然，存储库的 XML 清单文件损坏了，这意味着在进行修复之前，存储库无法挂载。 我拿起我的小酒壶，猛灌了一口。 “好吧，我们现在有很多问题。第一个问题，当然是 CryptoWall 感染。一般来说，可以通过备份恢复来解决。但是，备份存储库的支撑文件已经损坏，无法挂载。正常情况下，这不应该发生，因为除非你是网络管理员，否则任何人都不应该登录服务器。你们都用同一个用户名通过远程桌面登录，这是个大问题。感染就是通过这个账户进来的，而且你们都用它，我无法知道是哪台机器感染的。但是，我可以肯定不是你们网络中的机器，因为运行该进程的会话来自一台与你们的命名规则不符的机器。这意味着有人未经授权通过远程桌面访问了你们的网络。” 我几乎可以听到她的下巴掉在地上的声音。 “还没完呢，”我继续说道。“远程桌面使用的端口被转发到了你们的服务器，而你们的路由器不支持限制哪些远程机器可以访问该端口。事实上，考虑到那是 2006 年左右的路由器，我真惊讶它还能运行。再加上通用的用户账户和弱密码，基本上，你们的网络就像一扇没有锁的屏风。任何人只要稍微用点力就能进来。我们还没说完呢。”我深吸一口气，继续说道。“因为你们都在这台服务器上做图表，而且你们共享一个服务器访问账户，所以我必须问这个问题，我真的、真的希望答案是否定的。你们在 EHR 软件中使用相同的凭据来做图表吗？” 沉默告诉我所有我想听到（但不想听）的答案。 “好吧。那么，现在我们必须假设你们的 EHR 数据库已经泄露了，因为我们没有审计跟踪或相关信息，而且你们都共享凭据。你们也处理信用卡吗？” “我们用一个网络门户网站来处理……” “而且，它可以通过用户的远程桌面会话访问。”我叹了口气。“好吧，情况不妙。事实上，这是我见过最糟糕的情况之一。” “我们有什么选择？” “再说一遍，我现在不接新客户。等我从奥斯汀赶到你们那里，带着我需要的零件，赎金的最后期限早就过了。”我又喝了一口。“我给 $BENS_BOSS 打个电话，和他好好谈谈，看看他是否愿意破例接下这个客户。我也建议你们给律师打电话。$IDIOT_TECH 现在的情况非常糟糕，如果我可以大胆地说一句，我非常希望他有良好的错误和遗漏保险，因为这种情况会让律师们兴奋不已。你们已经被黑了，肯定不符合 PCI 标准，而且除非我们找到相反的证据，否则这很可能是一起完整的 HIPAA 违规事件。在我们做任何事情之前，先拔掉服务器上的备份硬盘。” 我挂断电话，用我的手机拨打了 Ben 的电话。 “对不起对不起对不起！”Ben 一接电话就说道。“他自己干的，他今天早上告诉我的，我说他是个白痴……” “放松，”我宽宏大量地说。“你和我没事。你还欠我一个人情，但我们没事。这是我和他之间的事情。现在，你要做的是，放下你手头的工作，从你的备用服务器中拿出一台服务器。是的，我知道你那里有一台 R510，里面有几个 TB 的存储空间，我之前去的时候看到过。你要在上面安装 2012 R2 以及 Hyper-V 和 AppAssure，然后在上面创建一个新的 2K8 R2 虚拟机。这个虚拟机要复制被搞砸的服务器的功能：AD、DHCP、DNS、文件和打印。你要启动第二个 2K8 R2 虚拟机，并在上面安装他们的 EHR 软件。完成之后，你要过去对他们的服务器进行裸机恢复，恢复到周五晚上的状态。存储库的清单文件已经损坏，所以预计需要一段时间才能重建它们，如果能重建的话。之后，让他们的 EHR 技术支持上线，进行紧急迁移，从旧服务器迁移到第二个外置硬盘。将该硬盘连接到新的 EHR 虚拟机，将 SQL 数据库和文件恢复到其中。” “这太复杂了……” “我没说你可以说话。恢复到那里之后，提升新的域控制器，降级旧的域控制器，然后从架构中删除它。完成所有这些操作后，导出文件——哦，带上一个 pfSense 或不错的 soho 网关，他们有一个 WRT54G，3389 端口对全世界开放，需要更换。他们需要给你一份最新的员工名单；为每个用户创建唯一的 AD 账户，并将他们添加到 Staff 组，禁止他们以交互方式登录服务器。完成所有这些操作后，根据我们为你服务器机房做的清单进行审核——在任何情况下都不要启用远程桌面！” “还有别的吗？”他的声音嘶哑——我刚刚让他连续工作 12 个小时，这太轻松了。 “是的，实际上还有。那里的每台机器都需要进行全面的病毒扫描和清理。在所有机器上运行 TronScript——并将本地配置文件迁移到每个用户的新域账户。最后，你需要让他们为他们的信用卡购买一个专用的刷卡终端——那个网络门户网站是行不通的。哦，你们必须将他们作为合同客户。这不是一个选择。我不在乎他说过不接客户。因为他所做的事情——让我来收拾残局……第二次收拾那个眼神呆滞、口齿不清的奇才，现在这是他的问题。” “等等，你怎么让他同意？” “$IDIOT_TECH 在上班时间使用公司的时间和资源——我敢打赌，还有许可证密钥——来支持这个用户。然后他说他与 $MSP 达成协议，如果他无法胜任，就由 $MSP 接管他的客户。”我脸上露出了邪恶的笑容。“我相信 $BENS_BOSS 会很想知道他的流氓技术员冒充是贵公司的商业伙伴。” “天哪，”Ben 喘着气说。“我不认为他会喜欢敲诈勒索。” “这不是我的问题，是你的问题。现在把服务器启动起来，然后过去。你们必须在明天早上 7 点之前让一切正常运行——他们的第一台手术是在 9 点。” 经过一夜疯狂的清理和修复，Ben（以及他勒索老板使用的三名技术人员）在早上及时启动并运行了所有设备，以便他们的患者能够正常登记和进行图表记录。他甚至成功地完美迁移了本地配置文件，并在每台工作站上安装了 EHR 客户端。路由器被 pfSense 取代，无线功能由 Ubiquiti AC-Pro 无线接入点接管。RDP 被完全锁定，没有为任何东西设置防火墙例外，并且刷卡终端在第二天到达。他对网络进行了 PCI 审核扫描，并正确完成了证明，因此他们正确地获得了认证。 HIPAA 审核……好吧，那是一个持续进行的故事，但这与我无关（谢天谢地）。 他的老板对他接了另一个客户并不高兴，但是这个客户维护成本低，而且每月支付相当可观的支持费用，所以最终还是扯平了。 律师们仍在试图找到 $IDIOT_TECH 来起诉他。显然，他一直在敲诈他们，而且他购买的所有许可证都使用了 $MSP 客户的 MAK VLK（永久激活密钥）。Windows、Office 和 Windows Server——加起来可是一笔不小的数目。 牙科诊所向他们的保险公司提出了索赔——并起诉了 $IDIOT_TECH（如果传票服务器能找到他的话）——重建一切的大部分费用都由保险公司承担了。显然，商业犯罪和不诚实行为保险是存在的。谁知道呢？ 想想吧——其他人都在为所有这些事情感到恐慌，而我只是坐在这里，喝着我的威士忌。 **TL;DR：你会被起诉的。**