Qual é a primeira coisa que você faz se seu site foi invadido?

11

O que você faria como primeira coisa se seu site fosse invadido? Tomando o site da net? ou reverter um backup? não realmente ou? Você fez alguma experiência dessa maneira?

security  website  web 
Desfile de rua
fonte
4
Provavelmente mais uma pergunta Servidor Fault
Joey
atualize seu currículo
einstiien

Respostas:

11

A primeira coisa que eu faria é tirá-lo da rede pelo menos até entender o que exatamente é o dano. Avaliar o que foi comprometido em tempo hábil é mais crucial.

Areias
fonte
3

Coloque o site offline.

Isto é crucial. Se o invasor ainda estiver no seu sistema e você começar a bisbilhotar, eles poderão perceber que você detectou a presença deles e tentar encobrir suas trilhas (por exemplo, excluir coisas).

user26868
fonte
2

Coloque-o off-line e restaure a máquina inteira, não apenas as páginas da web, a partir de seus backups. Antes de voltar a colocá-lo on-line, conserte o buraco que costumavam entrar.

John Gardeniers
fonte
Sei que isso parece senso comum, mas verifique como eles chegaram antes de restaurar a máquina inteira, pois você perderá os logs etc. ao restaurar a partir do backup.
Josh Brower
1

Esperamos que sua organização tenha um documento escrito que especifique as etapas a serem tomadas, quem está envolvido, quem deve ser contatado. Caso contrário, comece a escrever uma imediatamente. Você o denunciou à unidade de crimes cibernéticos, etc.? Não espere até a próxima.

jl.
fonte
0

Altere suas senhas e restaure a partir de um backup. Em seguida, verifique seus logs, entre em contato com seu host, etc.

Sampson
fonte
0

Isso depende de vários fatores. Isso inclui itens como a sensibilidade dos dados do site e o custo de perda ou corrupção de dados hospedados no site.

Acredito que a primeira coisa a fazer é avaliar o nível de ameaça em termos de nível de dano e custo para reparar. A próxima coisa a fazer é agir em conformidade.

xenonxavior
fonte
0
  • Entenda que seu host da Web entende a importância do seu site.
  • Limpe o sistema operacional e reinstale os backups. Não peça ao seu host para dar uma "olhada rápida" para ver se ele pode limpá-lo (isso prolongará o tempo de inatividade).
  • Aprenda com a experiência (como é quase garantido que você não tem tudo 100% de backup e um plano de recuperação de desastre escrito)
Andrew
fonte
-1
  • coloque-o offline
  • fazer backup
  • verificar / analisar (quando tiver tempo)
  • restaurar o último backup conhecido como bom

Você pode analisar posteriormente os arquivos comprometidos.

cstamas
fonte
Só verifique / analise se você tiver tempo? Por que você colocaria o sistema novamente online, sem corrigir a vulnerabilidade que o invasor explorou pela primeira vez?
Josh Brower
Você está certo. "quando" é o que eu quis dizer em vez de "se". Às vezes, é essencial ter o serviço online novamente e, enquanto isso, você pode analisar o backup da máquina comprometida.
Cstamas
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.