Quando un server viene rootato ( ad esempio una situazione come questa ), una delle prime cose che potresti decidere di fare è il contenimento . Alcuni specialisti della sicurezza consigliano di non avviare immediatamente la riparazione e di mantenere il server online fino al completamento delle analisi forensi. Questi consigli sono di solito per APT . È diverso se hai occasionali violazioni di Script per bambini , quindi potresti decidere di rimediare (risolvere le cose) in anticipo. Uno dei passaggi nella correzione è il contenimento del server. Citando la risposta di Robert Moir - "disconnettere la vittima dai suoi rapinatori".
Un server può essere contenuto tirando il cavo di rete o il cavo di alimentazione .
Quale metodo è migliore?
Tenendo conto della necessità di:
- Proteggere le vittime da ulteriori danni
- Esecuzione di analisi forensi efficaci
- (Forse) Protezione di dati preziosi sul server
Modifica: 5 ipotesi
assumendo:
- Hai rilevato in anticipo: 24 ore.
- Vuoi recuperare in anticipo: 3 giorni di 1 amministratore di sistema sul lavoro (medicina legale e recupero).
- Il server non è una macchina virtuale o un contenitore in grado di eseguire un'istantanea per acquisire il contenuto della memoria del server.
- Decidi di non tentare di perseguire.
- Sospetti che l'utente malintenzionato stia utilizzando una qualche forma di software (possibilmente sofisticato) e che questo software sia ancora in esecuzione sul server.