Qual é a primeira coisa que você faz se seu site foi invadido?
11
O que você faria como primeira coisa se seu site fosse invadido? Tomando o site da net? ou reverter um backup? não realmente ou? Você fez alguma experiência dessa maneira?
A primeira coisa que eu faria é tirá-lo da rede pelo menos até entender o que exatamente é o dano. Avaliar o que foi comprometido em tempo hábil é mais crucial.
Isto é crucial. Se o invasor ainda estiver no seu sistema e você começar a bisbilhotar, eles poderão perceber que você detectou a presença deles e tentar encobrir suas trilhas (por exemplo, excluir coisas).
Coloque-o off-line e restaure a máquina inteira, não apenas as páginas da web, a partir de seus backups. Antes de voltar a colocá-lo on-line, conserte o buraco que costumavam entrar.
Sei que isso parece senso comum, mas verifique como eles chegaram antes de restaurar a máquina inteira, pois você perderá os logs etc. ao restaurar a partir do backup.
Josh Brower
1
Esperamos que sua organização tenha um documento escrito que especifique as etapas a serem tomadas, quem está envolvido, quem deve ser contatado. Caso contrário, comece a escrever uma imediatamente. Você o denunciou à unidade de crimes cibernéticos, etc.? Não espere até a próxima.
Isso depende de vários fatores. Isso inclui itens como a sensibilidade dos dados do site e o custo de perda ou corrupção de dados hospedados no site.
Acredito que a primeira coisa a fazer é avaliar o nível de ameaça em termos de nível de dano e custo para reparar. A próxima coisa a fazer é agir em conformidade.
Entenda que seu host da Web entende a importância do seu site.
Limpe o sistema operacional e reinstale os backups. Não peça ao seu host para dar uma "olhada rápida" para ver se ele pode limpá-lo (isso prolongará o tempo de inatividade).
Aprenda com a experiência (como é quase garantido que você não tem tudo 100% de backup e um plano de recuperação de desastre escrito)
Só verifique / analise se você tiver tempo? Por que você colocaria o sistema novamente online, sem corrigir a vulnerabilidade que o invasor explorou pela primeira vez?
Josh Brower
Você está certo. "quando" é o que eu quis dizer em vez de "se". Às vezes, é essencial ter o serviço online novamente e, enquanto isso, você pode analisar o backup da máquina comprometida.
Respostas:
A primeira coisa que eu faria é tirá-lo da rede pelo menos até entender o que exatamente é o dano. Avaliar o que foi comprometido em tempo hábil é mais crucial.
fonte
Coloque o site offline.
Isto é crucial. Se o invasor ainda estiver no seu sistema e você começar a bisbilhotar, eles poderão perceber que você detectou a presença deles e tentar encobrir suas trilhas (por exemplo, excluir coisas).
fonte
Coloque-o off-line e restaure a máquina inteira, não apenas as páginas da web, a partir de seus backups. Antes de voltar a colocá-lo on-line, conserte o buraco que costumavam entrar.
fonte
Esperamos que sua organização tenha um documento escrito que especifique as etapas a serem tomadas, quem está envolvido, quem deve ser contatado. Caso contrário, comece a escrever uma imediatamente. Você o denunciou à unidade de crimes cibernéticos, etc.? Não espere até a próxima.
fonte
Altere suas senhas e restaure a partir de um backup. Em seguida, verifique seus logs, entre em contato com seu host, etc.
fonte
Isso depende de vários fatores. Isso inclui itens como a sensibilidade dos dados do site e o custo de perda ou corrupção de dados hospedados no site.
Acredito que a primeira coisa a fazer é avaliar o nível de ameaça em termos de nível de dano e custo para reparar. A próxima coisa a fazer é agir em conformidade.
fonte
fonte
Você pode analisar posteriormente os arquivos comprometidos.
fonte