Co zrobiłbyś jako pierwszą rzecz, gdyby Twoja strona została zhakowana? Biorąc stronę z sieci? lub cofnąć kopię zapasową? nie naprawdę czy? Czy zrobiłeś jakieś doświadczenia w ten sposób?
Pierwszą rzeczą, którą bym zrobił, było zdjęcie go z sieci przynajmniej do momentu, aż zrozumiem, co to za szkoda. Najistotniejsza jest ocena tego, co zostało zagrożone w odpowiednim czasie.
To jest kluczowe. Jeśli intruz nadal znajduje się w twoim systemie i zaczniesz się grzebać, mogą zauważyć, że wykryłeś ich obecność i spróbować zatrzeć ślady (np. Usunąć rzeczy).
Wyłącz go z sieci i przywróć całą maszynę, a nie tylko strony internetowe, z kopii zapasowych. Następnie, przed ponownym włączeniem go do sieci, napraw dziurę, w której się znajdowali.
Wiem, że to brzmi jak zdrowy rozsądek, ale upewnij się, że dowiedziałeś się, jak się dostali, zanim przywrócisz całą maszynę, ponieważ stracisz dzienniki itp. Podczas przywracania z kopii zapasowej.
Josh Brower
1
Mam nadzieję, że Twoja organizacja ma pisemny dokument określający kroki, które należy podjąć, kto jest zaangażowany, z kim należy się skontaktować. Jeśli nie, zacznij pisać od razu. Czy zgłosiłeś to policji jednostki ds. Cyberprzestępczości itp.? Nie czekaj do następnego razu.
To zależy od kilku czynników. Obejmuje to między innymi wrażliwość danych witryny oraz koszty utraty lub uszkodzenia danych hostowanych w witrynie.
Uważam, że pierwszą rzeczą do zrobienia jest ocena poziomu zagrożenia pod względem poziomu uszkodzeń i kosztów naprawy. Następną rzeczą do zrobienia jest odpowiednie działanie.
Zrozum, że Twój hostingowy rozumie, jak ważna jest Twoja witryna.
Wyczyść system operacyjny i zainstaluj ponownie z kopii zapasowych. Nie proś gospodarza o „szybkie spojrzenie”, aby sprawdzić, czy może to wyczyścić (wydłuży to czas przestoju).
Ucz się na podstawie tego doświadczenia (ponieważ jest prawie pewne, że nie masz kopii zapasowej w 100% i napisano plan odzyskiwania po awarii)
Sprawdź / przeanalizuj tylko, jeśli masz czas? Dlaczego miałbyś przełączyć system z powrotem w tryb online, nie usuwając podatności, którą atakujący wykorzystał po raz pierwszy?
Josh Brower
Masz rację. „kiedy” jest tym, co miałem na myśli zamiast „jeśli”. Czasami krytyczne jest przywrócenie usługi do trybu online, a tymczasem możesz przeanalizować kopię zapasową zainfekowanego komputera.
Odpowiedzi:
Pierwszą rzeczą, którą bym zrobił, było zdjęcie go z sieci przynajmniej do momentu, aż zrozumiem, co to za szkoda. Najistotniejsza jest ocena tego, co zostało zagrożone w odpowiednim czasie.
źródło
Przełącz witrynę w tryb offline.
To jest kluczowe. Jeśli intruz nadal znajduje się w twoim systemie i zaczniesz się grzebać, mogą zauważyć, że wykryłeś ich obecność i spróbować zatrzeć ślady (np. Usunąć rzeczy).
źródło
Wyłącz go z sieci i przywróć całą maszynę, a nie tylko strony internetowe, z kopii zapasowych. Następnie, przed ponownym włączeniem go do sieci, napraw dziurę, w której się znajdowali.
źródło
Mam nadzieję, że Twoja organizacja ma pisemny dokument określający kroki, które należy podjąć, kto jest zaangażowany, z kim należy się skontaktować. Jeśli nie, zacznij pisać od razu. Czy zgłosiłeś to policji jednostki ds. Cyberprzestępczości itp.? Nie czekaj do następnego razu.
źródło
Zmień hasło, a następnie przywróć z kopii zapasowej. Następnie sprawdź swoje dzienniki, skontaktuj się z hostem itp.
źródło
To zależy od kilku czynników. Obejmuje to między innymi wrażliwość danych witryny oraz koszty utraty lub uszkodzenia danych hostowanych w witrynie.
Uważam, że pierwszą rzeczą do zrobienia jest ocena poziomu zagrożenia pod względem poziomu uszkodzeń i kosztów naprawy. Następną rzeczą do zrobienia jest odpowiednie działanie.
źródło
źródło
Później możesz przeanalizować zainfekowane pliki.
źródło