Lorsqu'un serveur est enraciné ( par exemple une situation comme celle-ci ), l'une des premières choses que vous pouvez décider de faire est le confinement . Certains spécialistes de la sécurité conseillent de ne pas entrer immédiatement dans la correction et de garder le serveur en ligne jusqu'à ce que la criminalistique soit terminée. Ces conseils sont généralement pour APT . C'est différent si vous avez des violations occasionnelles de Script pour les enfants , vous pouvez donc décider de corriger (réparer les choses) tôt. L'une des étapes de la correction est le confinement du serveur. Citant la réponse de Robert Moir - "déconnectez la victime de ses agresseurs".
Un serveur peut être contenu en tirant sur le câble réseau ou le câble d'alimentation .
Quelle méthode est la meilleure?
Tenant compte de la nécessité:
- Protéger les victimes de nouveaux dommages
- Exécution de criminalistique réussie
- (Peut-être) Protéger des données précieuses sur le serveur
Edit: 5 hypothèses
En supposant:
- Vous avez détecté tôt: 24 heures.
- Vous souhaitez récupérer tôt: 3 jours de 1 administrateur système sur le chantier (criminalistique et récupération).
- Le serveur n'est pas une machine virtuelle ou un conteneur capable de prendre un instantané capturant le contenu de la mémoire du serveur.
- Vous décidez de ne pas tenter de poursuivre.
- Vous pensez que l'attaquant peut utiliser une forme de logiciel (éventuellement sophistiquée) et que ce logiciel fonctionne toujours sur le serveur.