Apa hal pertama yang Anda lakukan jika situs web Anda diretas?
11
Apa yang akan Anda lakukan sebagai hal pertama jika situs web Anda diretas? Mengambil situs dari internet? atau mengembalikan cadangan? tidak benar-benar atau? Apakah Anda membuat pengalaman dengan cara ini?
Hal pertama yang akan saya lakukan adalah melepaskannya dari jaring setidaknya sampai saya mengerti apa sebenarnya kerusakannya. Menilai apa yang telah dikompromikan pada waktu yang tepat adalah yang paling penting.
Ini sangat penting. Jika penyusup masih berada di sistem Anda dan Anda mulai mencari-cari, mereka mungkin memperhatikan bahwa Anda telah mendeteksi keberadaan mereka dan mencoba untuk menutupi jejak mereka (yaitu menghapus sesuatu).
Hapus secara offline dan kembalikan seluruh mesin, tidak hanya halaman web, dari cadangan Anda. Kemudian, sebelum memasangnya kembali online, perbaiki lubang yang mereka gunakan untuk masuk.
Saya tahu ini kedengarannya masuk akal, tetapi pastikan Anda mencari tahu bagaimana mereka masuk sebelum Anda mengembalikan seluruh mesin, karena Anda akan kehilangan log, dll ketika Anda memulihkan dari cadangan.
Josh Brower
1
Semoga oganisasi Anda memiliki dokumen tertulis yang menentukan langkah-langkah yang harus diambil, siapa yang terlibat, siapa yang harus dihubungi. Jika tidak segera mulai menulis satu. Sudahkah Anda melaporkannya ke unit kejahatan cyber polisi, dll? Jangan tunggu sampai waktu berikutnya.
Itu tergantung pada beberapa faktor. Ini termasuk hal-hal seperti sensitivitas data situs Anda dan biaya kehilangan atau kerusakan data yang dihosting di situs Anda.
Saya percaya hal pertama yang harus dilakukan adalah menilai tingkat ancaman dalam hal tingkat kerusakan dan biaya untuk perbaikan. Hal selanjutnya yang harus dilakukan adalah bertindak sesuai.
Pahami bahwa host web Anda memahami betapa pentingnya situs Anda.
Hapus OS dan instal ulang dari cadangan. Jangan minta host Anda untuk "melihat sekilas" untuk melihat apakah mereka dapat membersihkannya (ini akan memperpanjang waktu henti.)
Belajar dari pengalaman (karena hampir dijamin Anda tidak memiliki semuanya yang didukung 100% dan rencana pemulihan bencana tertulis)
Hanya periksa / analisis jika Anda punya waktu? Mengapa Anda meletakkan sistem kembali online, tanpa memperbaiki kerentanan yang dieksploitasi penyerang pertama kali?
Josh Brower
Kamu benar. "kapan" adalah apa yang saya maksudkan bukannya "jika". Kadang-kadang sangat penting untuk memiliki layanan kembali online dan sementara itu Anda dapat menganalisis cadangan mesin yang dikompromikan.
Jawaban:
Hal pertama yang akan saya lakukan adalah melepaskannya dari jaring setidaknya sampai saya mengerti apa sebenarnya kerusakannya. Menilai apa yang telah dikompromikan pada waktu yang tepat adalah yang paling penting.
sumber
Jadikan situs offline.
Ini sangat penting. Jika penyusup masih berada di sistem Anda dan Anda mulai mencari-cari, mereka mungkin memperhatikan bahwa Anda telah mendeteksi keberadaan mereka dan mencoba untuk menutupi jejak mereka (yaitu menghapus sesuatu).
sumber
Hapus secara offline dan kembalikan seluruh mesin, tidak hanya halaman web, dari cadangan Anda. Kemudian, sebelum memasangnya kembali online, perbaiki lubang yang mereka gunakan untuk masuk.
sumber
Semoga oganisasi Anda memiliki dokumen tertulis yang menentukan langkah-langkah yang harus diambil, siapa yang terlibat, siapa yang harus dihubungi. Jika tidak segera mulai menulis satu. Sudahkah Anda melaporkannya ke unit kejahatan cyber polisi, dll? Jangan tunggu sampai waktu berikutnya.
sumber
Ubah kata sandi Anda, lalu pulihkan dari cadangan. Kemudian periksa log Anda, hubungi host Anda, dll.
sumber
Itu tergantung pada beberapa faktor. Ini termasuk hal-hal seperti sensitivitas data situs Anda dan biaya kehilangan atau kerusakan data yang dihosting di situs Anda.
Saya percaya hal pertama yang harus dilakukan adalah menilai tingkat ancaman dalam hal tingkat kerusakan dan biaya untuk perbaikan. Hal selanjutnya yang harus dilakukan adalah bertindak sesuai.
sumber
sumber
Anda nanti dapat menganalisis file yang dikompromikan.
sumber