umgebung

Hypervisor Filesystem

szenario

daten einer einzelnen vm wurden verschlüsselt durch crypto trojaner angriff

wiederherstellung

aktuellen zustand des zvols sichern

ssh root@proxmox
qm stop 304
vm=rpool/data/vm-304-disk-0
zfs rename $vm "$vm"_VIRUS

zustand von gestern wiederherstellen und vm starten

zfs clone \
$(zfs list -t snap -o name $vm | grep daily | tail -n1) \
$vm
qm start 304

optional: daten waren gestern auch schon kaputta also wiederherstellung von vorgestern…

vm stoppen, klon löschen, zustand von gestern wiederherstellen und vm wieder starten
qm stop 304
zfs destroy $vm
zfs clone $(zfs list -t snap -o name $vm | grep daily | tail -n2 | head -n 1) $vm
qm start 304

wenn alles gut aussieht, das geklonte zvol zum echten zvol machen

zfs promote "$vm"

beispiel video

00:01:26 Problem angucken
00:03:31 herausfinden wann die Daten noch ok/noch nicht verschlüsselt waren
00:13:12 alten Zustand wiederherstellen mit zfs rollback
00:15:07 alten Zustand wiederherstellen mit zfs rename,clone und promote
00:20:07 System auf Viren scannen
00:21:56 prüfen ob Daten alle ok sind und das Arbeiten wieder möglich ist

video: https://peertube.satoshishop.de/w/pLV3XeQf32HLSe8j6tnB6Q