Что вы делаете в первую очередь, если ваш сайт был взломан?
11
Что бы вы сделали в первую очередь, если бы ваш сайт был взломан? Взять сайт из сети? или откатить резервную копию? не реально или? Вы делали какие-либо опыты таким образом?
Первое, что я хотел бы сделать, это снять его с сети, по крайней мере, пока я не пойму, что именно за ущерб. Своевременная оценка того, что было скомпрометировано, является наиболее важной.
Это очень важно. Если злоумышленник все еще находится в вашей системе, и вы начинаете ковыряться, они могут заметить, что вы обнаружили их присутствие, и попытаться скрыть их следы (то есть удалить объекты).
Переведите его в автономный режим и восстановите из резервных копий весь компьютер, а не только веб-страницы. Затем, прежде чем снова подключить его, исправьте отверстие, в которое они входили.
Я знаю, что это звучит как здравый смысл, но убедитесь, что вы узнали, как они попали, прежде чем восстанавливать всю машину, так как вы потеряете журналы и т. Д. При восстановлении из резервной копии.
Джош Брауэр
1
Надеемся, что у вашей организации есть письменный документ, в котором указаны шаги, которые необходимо предпринять, с кем нужно связаться. Если не начать писать сразу. Вы сообщили об этом в полицию киберпреступности и т. Д.? Не ждите до следующего раза.
Это зависит от нескольких факторов. Это включает в себя такие вещи, как чувствительность данных вашего сайта и стоимость потери или повреждения данных, размещенных на вашем сайте.
Я считаю, что первое, что нужно сделать, это оценить уровень угрозы с точки зрения уровня ущерба и стоимости ремонта. Следующее, что нужно сделать, это действовать соответственно.
Поймите, что ваш веб-хост понимает, насколько важен ваш сайт.
Протрите ОС и переустановите из резервных копий. Не просите вашего хозяина «быстро посмотреть», чтобы увидеть, могут ли они его почистить (это продлит время простоя).
Учитесь на опыте (так как почти гарантировано, что у вас нет резервной копии всего на 100% и не написан план аварийного восстановления)
Только проверяйте / анализируйте, если у вас есть время? Зачем возвращать систему в оперативный режим, не устраняя уязвимость, которую злоумышленник использовал в первый раз?
Джош Брауэр
Вы правы. «когда» - это то, что я имел в виду вместо «если». Иногда очень важно снова подключить службу, и в это же время вы можете проанализировать резервную копию скомпрометированной машины.
Ответы:
Первое, что я хотел бы сделать, это снять его с сети, по крайней мере, пока я не пойму, что именно за ущерб. Своевременная оценка того, что было скомпрометировано, является наиболее важной.
источник
Переведите сайт в автономный режим.
Это очень важно. Если злоумышленник все еще находится в вашей системе, и вы начинаете ковыряться, они могут заметить, что вы обнаружили их присутствие, и попытаться скрыть их следы (то есть удалить объекты).
источник
Переведите его в автономный режим и восстановите из резервных копий весь компьютер, а не только веб-страницы. Затем, прежде чем снова подключить его, исправьте отверстие, в которое они входили.
источник
Надеемся, что у вашей организации есть письменный документ, в котором указаны шаги, которые необходимо предпринять, с кем нужно связаться. Если не начать писать сразу. Вы сообщили об этом в полицию киберпреступности и т. Д.? Не ждите до следующего раза.
источник
Измените свои пароли, а затем восстановите из резервной копии. Затем проверьте ваши логи, свяжитесь с вашим хостом и т. Д.
источник
Это зависит от нескольких факторов. Это включает в себя такие вещи, как чувствительность данных вашего сайта и стоимость потери или повреждения данных, размещенных на вашем сайте.
Я считаю, что первое, что нужно сделать, это оценить уровень угрозы с точки зрения уровня ущерба и стоимости ремонта. Следующее, что нужно сделать, это действовать соответственно.
источник
источник
Позже вы можете проанализировать скомпрометированные файлы.
источник