https://linux.do/t/topic/585956 
事情是这样，上午来了发现一些服务没法用了，登陆服务器发现映射外网的windows服务器有几台被加密了，于是下午领导找了一家安全公司，于是他说： 

目前咱在恢复业务之前，首先就是需要在边界加上可以进行攻击拦截和病毒过滤的设备，比如入侵防御，然后在终端层面电脑和服务器需要部署专业的 EDR 杀毒产品。 
不然就算是解密了之后还是会被再次侵入加密的，因为一般被入侵了之后，他都会放置后门。 
不是说取消目的的地址映射就可以的，因为后门他是去主动去连供网上的黑客掌控的域名或者是公网地址。 
现在必须要加安全设备，不然出现了安全事件也没有办法拦截，也没有日志记录或者是进行溯源 

我感觉吧，我不知道怎么说，他说的没错……但……