Ursprünglich von Serverfault. Dank an Robert Moir (RobM)

Es ist schwierig, spezifische Ratschläge von dem zu geben, was Sie hier gepostet haben, aber ich Haben Sie einige allgemeine Ratschläge, die auf einem Beitrag basieren, den ich vor langer Zeit geschrieben habe, als ich noch die Mühe hatte, zu bloggen.

Keine Panik

Das Wichtigste zuerst: Es gibt keine anderen "Schnellkorrekturen" als die Wiederherstellung Ihres Systems aus einer Sicherung, die vor dem Eindringen erstellt wurde. Dies hat mindestens zwei Probleme.

1. Es ist schwierig um genau zu bestimmen, wann das Eindringen stattgefunden hat.
2. Es hilft Ihnen nicht, das "Loch" zu schließen, durch das sie das letzte Mal eingebrochen sind, und auch nicht die Folgen eines "Datendiebstahls" zu bewältigen, der möglicherweise auch eingetreten ist place.
ol>

Diese Frage wird immer wieder von Opfern von Hackern gestellt, die in ihren Webserver eindringen. Die Antworten ändern sich sehr selten, aber die Leute stellen immer wieder die Frage. Ich bin mir nicht sicher warum. Vielleicht mögen die Leute die Antworten, die sie bei der Suche nach Hilfe gesehen haben, einfach nicht oder sie können niemanden finden, dem sie vertrauen, um ihnen Ratschläge zu geben. Oder vielleicht lesen die Leute eine Antwort auf diese Frage und konzentrieren sich zu sehr auf die 5%, warum ihr Fall speziell ist und sich von den Antworten unterscheidet, die sie online finden können, und verpassen die 95% der Frage und Antwort, wenn ihr Fall nahe genug ist als die, die sie online lesen.

Das bringt mich zum ersten wichtigen Nugget an Informationen. Ich weiß es wirklich zu schätzen, dass Sie eine besondere, einzigartige Schneeflocke sind. Ich weiß es zu schätzen, dass Ihre Website auch ein Spiegelbild von Ihnen und Ihrem Unternehmen oder zumindest Ihrer harten Arbeit im Auftrag eines Arbeitgebers ist. Für jemanden von außen, der nach innen schaut, sei es eine Computersicherheitsperson, die sich das Problem ansieht, um Ihnen zu helfen, oder sogar der Angreifer selbst, ist es sehr wahrscheinlich, dass Ihr Problem zu mindestens 95% mit jedem anderen Fall identisch ist jemals angeschaut.

Nehmen Sie den Angriff nicht persönlich und nehmen Sie die Empfehlungen, die hier folgen oder die Sie von anderen Personen erhalten, nicht persönlich. Wenn Sie dies lesen, nachdem Sie gerade Opfer eines Website-Hacks geworden sind, tut es mir wirklich leid, und ich hoffe wirklich, dass Sie hier etwas Hilfreiches finden können, aber dies ist nicht die Zeit, Ihr Ego in die Quere kommen zu lassen, was Sie brauchen tun.

Sie haben gerade herausgefunden, dass Ihre Server gehackt wurden. Was nun?

Keine Panik. Handeln Sie auf keinen Fall in Eile und versuchen Sie auf keinen Fall, so zu tun, als wären Dinge nie passiert, und handeln Sie überhaupt nicht.

Erstens: Verstehen Sie, dass die Katastrophe bereits eingetreten ist. Dies ist nicht die Zeit für Verleugnung; Es ist an der Zeit, zu akzeptieren, was passiert ist, realistisch zu sein und Maßnahmen zu ergreifen, um die Folgen der Auswirkungen zu bewältigen.

Einige dieser Schritte werden weh tun, und (es sei denn, Ihre Website hält eine Kopie meiner Daten) Es ist mir wirklich egal, ob Sie alle oder einige dieser Schritte ignorieren, aber dies wird die Dinge am Ende verbessern. Das Medikament mag schrecklich schmecken, aber manchmal muss man das übersehen, wenn das Heilmittel wirklich wirken soll.

Verhindern Sie, dass sich das Problem verschlimmert, als es bereits ist:

1. The Als erstes sollten Sie die betroffenen Systeme vom Internet trennen. Unabhängig davon, welche anderen Probleme Sie haben, kann der Angriff nur fortgesetzt werden, wenn Sie das System mit dem Internet verbunden lassen. Ich meine das ganz wörtlich; Lassen Sie jemanden den Server physisch besuchen und die Netzwerkkabel abziehen, wenn dies erforderlich ist. Trennen Sie das Opfer jedoch von seinen Muggern, bevor Sie versuchen, etwas anderes zu tun.
2. Ändern Sie alle Ihre Kennwörter für alle Konten auf allen Computern die sich im selben Netzwerk wie die gefährdeten Systeme befinden. Nicht wirklich. Alle Konten. Alle Computer. Ja, Sie haben Recht, das könnte übertrieben sein. auf der anderen Seite könnte es nicht. Sie wissen es auch nicht, oder?
3. Überprüfen Sie Ihre anderen Systeme. Achten Sie besonders auf andere mit dem Internet verbundene Dienste und auf Dienste, die finanzielle oder andere wirtschaftlich sensible Daten enthalten.
4. Wenn das System personenbezogene Daten von Personen enthält, informieren Sie unverzüglich die für den Datenschutz verantwortliche Person (falls Sie es nicht sind). und URGE eine vollständige Offenlegung. Ich weiß, dass dieser hart ist. Ich weiß, dass dieser wehtun wird. Ich weiß, dass viele Unternehmen diese Art von Problem unter den Teppich kehren wollen, aber das Unternehmen wird sich damit befassen müssen - und dies unter Berücksichtigung aller relevanten Datenschutzgesetze.
ol >

So verärgert Ihre Kunden auch sein mögen, wenn Sie ihnen von einem Problem erzählen, sie sind weitaus ärgerlicher, wenn Sie es ihnen nicht sagen, und sie finden es erst heraus, nachdem jemand Waren im Wert von 8.000 USD mit dem berechnet hat Kreditkartendaten, die sie von Ihrer Website gestohlen haben.

Erinnern Sie sich an das, was ich zuvor gesagt habe? Das Schlimme ist schon passiert. Die einzige Frage ist jetzt, wie gut Sie damit umgehen.

Verstehen Sie das Problem vollständig:

1. Schalten Sie die betroffenen Systeme erst wieder online Diese Phase ist vollständig abgeschlossen, es sei denn, Sie möchten die Person sein, deren Beitrag der Wendepunkt für mich war, als ich mich tatsächlich entschied, diesen Artikel zu schreiben. Ich werde nicht auf diesen Beitrag verlinken, damit die Leute billig lachen können, aber die wahre Tragödie ist, wenn die Leute nicht aus ihren Fehlern lernen.
2. Untersuchen Sie die "angegriffenen" Systeme, um zu verstehen, wie die Angriffe haben Ihre Sicherheit gefährdet. Bemühen Sie sich, herauszufinden, woher die Angriffe "kamen", damit Sie verstehen, welche Probleme Sie haben und angehen müssen, um Ihr System in Zukunft sicher zu machen.
3. Untersuchen Sie die "angegriffenen" Systeme erneut. Diesmal, um zu verstehen, wohin die Angriffe gingen, damit Sie verstehen, welche Systeme bei dem Angriff kompromittiert wurden. Stellen Sie sicher, dass Sie alle Hinweise befolgen, die darauf hindeuten, dass kompromittierte Systeme zu einem Sprungbrett werden, um Ihre Systeme weiter anzugreifen.
4. Stellen Sie sicher, dass die bei allen Angriffen verwendeten "Gateways" vollständig verstanden sind, damit Sie sie ordnungsgemäß schließen können. (Wenn Ihre Systeme beispielsweise durch einen SQL-Injection-Angriff kompromittiert wurden, müssen Sie nicht nur die fehlerhafte Codezeile schließen, durch die sie eingebrochen sind, sondern auch Ihren gesamten Code überprüfen, um festzustellen, ob dieselbe Art von Fehler vorliegt wurde an anderer Stelle gemacht).
5. Verstehe, dass Angriffe aufgrund von mehr als einem Fehler erfolgreich sein können. Oft gelingt es Angriffen nicht, einen großen Fehler in einem System zu finden, sondern mehrere (manchmal geringfügige und triviale) Probleme miteinander zu verknüpfen, um ein System zu gefährden. Wenn Sie beispielsweise SQL-Injection-Angriffe verwenden, um Befehle an einen Datenbankserver zu senden, die Website / Anwendung zu ermitteln, die Sie angreifen, wird dies im Kontext eines Administratorbenutzers ausgeführt und die Rechte dieses Kontos als Sprungbrett verwendet, um andere Teile von zu gefährden ein System. Oder wie Hacker es gerne nennen: "Ein weiterer Tag im Büro, an dem häufig auftretende Fehler ausgenutzt werden."
ol>

Warum nicht einfach den Exploit oder das Rootkit "reparieren", den Sie haben? Das System erkannt und wieder online geschaltet?

In solchen Situationen besteht das Problem darin, dass Sie die Kontrolle über dieses System nicht mehr haben. Es ist nicht mehr Ihr Computer.

Die einzige Möglichkeit, sicher zu sein, dass Sie die Kontrolle über das System haben, besteht darin, das System neu zu erstellen. Es ist zwar sehr wertvoll, den Exploit zu finden und zu reparieren, mit dem in das System eingebrochen wurde, aber Sie können nicht sicher sein, was noch mit dem System geschehen ist, nachdem die Eindringlinge die Kontrolle erlangt haben (in der Tat ist es für Hacker, die rekrutieren, nicht ungewöhnlich Systeme in ein Botnetz einbinden, um die von ihnen selbst verwendeten Exploits zu patchen, "ihren" neuen Computer vor anderen Hackern zu schützen und ihr Rootkit zu installieren.

Erstellen Sie einen Plan für die Wiederherstellung und bringen Sie Ihren Website wieder online und bleiben Sie dabei:

Niemand möchte länger offline sein als nötig. Das ist eine gegebene. Wenn es sich bei dieser Website um einen umsatzgenerierenden Mechanismus handelt, ist der Druck, sie schnell wieder online zu stellen, groß. Selbst wenn das einzige, was auf dem Spiel steht, der Ruf Ihres Unternehmens ist, wird dies immer noch einen großen Druck erzeugen, die Dinge schnell wieder in Ordnung zu bringen.

Geben Sie jedoch nicht der Versuchung nach, zurückzukehren zu schnell online. Gehen Sie stattdessen so schnell wie möglich vor, um zu verstehen, was das Problem verursacht hat, und um es zu lösen, bevor Sie wieder online gehen. Andernfalls werden Sie mit ziemlicher Sicherheit erneut einem Eingriff zum Opfer fallen und denken Sie daran: "Einmal gehackt zu werden, kann als Unglück eingestuft werden." direkt danach wieder gehackt zu werden, sieht nach Nachlässigkeit aus "(mit Entschuldigung an Oscar Wilde).

1. Ich gehe davon aus, dass Sie alle Probleme verstanden haben, die zu dem erfolgreichen Eindringen vor Ihnen geführt haben Beginnen Sie sogar diesen Abschnitt. Ich möchte den Fall nicht übertreiben, aber wenn Sie das nicht zuerst getan haben, müssen Sie es wirklich tun. Entschuldigung.
2. Zahlen Sie niemals Erpressungs- / Schutzgeld. Dies ist das Zeichen einer einfachen Markierung, und Sie möchten nicht, dass dieser Ausdruck Sie jemals beschreibt.
3. Versuchen Sie nicht, dieselben Server ohne vollständige Neuerstellung wieder online zu stellen. Es sollte viel schneller sein, eine neue Box zu erstellen oder "den Server aus dem Orbit zu entfernen und eine Neuinstallation durchzuführen", als jede einzelne Ecke des alten Systems zu überprüfen, um sicherzustellen, dass es sauber ist, bevor Sie es zurücksetzen wieder online. Wenn Sie damit nicht einverstanden sind, wissen Sie wahrscheinlich nicht, was es wirklich bedeutet, sicherzustellen, dass ein System vollständig gereinigt wird, oder Ihre Website-Bereitstellungsverfahren sind ein unheiliges Durcheinander. Vermutlich verfügen Sie über Backups und Testbereitstellungen Ihrer Site, mit denen Sie nur die Live-Site erstellen können. Wenn Sie dies nicht tun, ist es nicht Ihr größtes Problem, gehackt zu werden.
4. Seien Sie sehr vorsichtig bei der Wiederverwendung von Daten, die zum Zeitpunkt des Hacks auf dem System "live" waren. Ich werde nicht "niemals tun" sagen, weil Sie mich einfach ignorieren, aber ehrlich gesagt denke ich, dass Sie die Konsequenzen der Aufbewahrung von Daten berücksichtigen müssen, wenn Sie wissen, dass Sie deren Integrität nicht garantieren können. Idealerweise sollten Sie dies aus einer Sicherung wiederherstellen, die vor dem Eindringen erstellt wurde. Wenn Sie dies nicht können oder wollen, sollten Sie mit diesen Daten sehr vorsichtig sein, da sie fehlerhaft sind. Sie sollten sich insbesondere der Konsequenzen für andere bewusst sein, wenn diese Daten Kunden oder Website-Besuchern gehören und nicht direkt Ihnen.
5. Überwachen Sie die Systeme sorgfältig. Sie sollten sich entschließen, dies in Zukunft als fortlaufenden Prozess zu tun (siehe unten), aber Sie bemühen sich besonders, während des Zeitraums unmittelbar nach der Wiederinbetriebnahme Ihrer Website wachsam zu sein. Die Eindringlinge werden mit ziemlicher Sicherheit zurück sein, und wenn Sie sehen können, dass sie versuchen, wieder einzubrechen, werden Sie sicher schnell sehen können, ob Sie wirklich alle Löcher geschlossen haben, die sie zuvor verwendet haben, sowie alle Löcher, die sie für sich selbst gemacht haben, und Sie könnten nützliche Informationen sammeln Informationen, die Sie an Ihre örtlichen Strafverfolgungsbehörden weitergeben können.
ol>

---

Das Risiko in Zukunft reduzieren.

Das erste, was Sie tun Sie müssen verstehen, dass Sicherheit ein Prozess ist, den Sie während des gesamten Lebenszyklus des Entwurfs, der Bereitstellung und der Wartung eines mit dem Internet verbundenen Systems anwenden müssen. Sie können anschließend nicht wie billige Farbe ein paar Schichten über Ihren Code streichen. Um richtig sicher zu sein, müssen ein Dienst und eine Anwendung von Anfang an als eines der Hauptziele des Projekts konzipiert werden. Mir ist klar, dass das langweilig ist und Sie alles schon einmal gehört haben und dass ich "den Druckmann einfach nicht erkenne", Ihren Beta-Web2.0 (Beta) -Dienst im Web in den Beta-Status zu versetzen, aber Tatsache ist, dass dies so bleibt wiederholt werden, weil es wahr war, als es das erste Mal gesagt wurde und es noch keine Lüge geworden ist.

Sie können das Risiko nicht ausschließen. Sie sollten nicht einmal versuchen, das zu tun. Was Sie jedoch tun sollten, ist zu verstehen, welche Sicherheitsrisiken für Sie wichtig sind, und zu verstehen, wie sowohl die Auswirkungen des Risikos als auch die Wahrscheinlichkeit des Eintretens des Risikos verwaltet und reduziert werden.

Welche Schritte Können Sie die Wahrscheinlichkeit eines erfolgreichen Angriffs verringern?

Zum Beispiel:

1. War der Fehler bekannt, durch den Personen in Ihre Website eindringen konnten? Fehler im Herstellercode, für den ein Patch verfügbar war? Wenn ja, müssen Sie Ihre Vorgehensweise beim Patchen von Anwendungen auf Ihren mit dem Internet verbundenen Servern überdenken?
2. War der Fehler, der es den Nutzern ermöglichte, in Ihre Site einzudringen, ein unbekannter Fehler im Herstellercode, z Welcher Patch war nicht verfügbar? Ich befürworte mit Sicherheit nicht, die Lieferanten zu wechseln, wenn Sie so etwas beißt, weil alle ihre Probleme haben und Ihnen die Plattformen in höchstens einem Jahr ausgehen, wenn Sie diesen Ansatz wählen. Wenn ein System Sie jedoch ständig im Stich lässt, sollten Sie entweder auf etwas Robusteres migrieren oder zumindest Ihr System neu gestalten, damit gefährdete Komponenten in Watte eingewickelt und so weit wie möglich von feindlichen Augen entfernt bleiben.
3. War der Fehler ein Fehler im Code, den Sie (oder jemand, der für Sie arbeitet) entwickelt haben? Wenn ja, müssen Sie Ihren Ansatz überdenken, wie Sie Code für die Bereitstellung auf Ihrer Live-Site genehmigen? Könnte der Fehler mit einem verbesserten Testsystem oder mit Änderungen an Ihrem Codierungsstandard behoben worden sein (obwohl Technologie kein Allheilmittel ist, können Sie die Wahrscheinlichkeit eines erfolgreichen SQL-Injection-Angriffs mithilfe gut dokumentierter Codierungstechniken verringern ).
4. War der Fehler auf ein Problem mit der Bereitstellung des Servers oder der Anwendungssoftware zurückzuführen? Wenn ja, verwenden Sie automatisierte Verfahren, um Server zu erstellen und bereitzustellen, wo dies möglich ist? Dies ist eine große Hilfe bei der Aufrechterhaltung eines konsistenten "Basis" -Status auf allen Ihren Servern, um den Umfang der benutzerdefinierten Arbeit zu minimieren, die auf jedem einzelnen Server ausgeführt werden muss, und damit hoffentlich die Möglichkeit, dass ein Fehler gemacht wird. Gleiches gilt für die Codebereitstellung. Wenn für die Bereitstellung der neuesten Version Ihrer Webanwendung etwas "Besonderes" erforderlich ist, versuchen Sie, diese zu automatisieren und sicherzustellen, dass sie immer auf konsistente Weise ausgeführt wird.
5. Könnte Wurde das Eindringen früher mit einer besseren Überwachung Ihrer Systeme aufgefangen? Natürlich ist eine 24-Stunden-Überwachung oder ein "Bereitschafts" -System für Ihre Mitarbeiter möglicherweise nicht kosteneffektiv, aber es gibt Unternehmen, die Ihre webbasierten Dienste für Sie überwachen und Sie im Falle eines Problems benachrichtigen können. Sie könnten entscheiden, dass Sie sich das nicht leisten können oder nicht brauchen, und das ist in Ordnung ... berücksichtigen Sie es einfach.
6. Verwenden Sie gegebenenfalls Tools wie Tripwire und Nessus - aber nicht nur benutze sie blind, weil ich es gesagt habe. Nehmen Sie sich Zeit, um zu lernen, wie Sie einige gute Sicherheitstools verwenden, die für Ihre Umgebung geeignet sind, halten Sie diese Tools auf dem neuesten Stand und verwenden Sie sie regelmäßig.
7. Stellen Sie Sicherheitsexperten ein, um die Sicherheit Ihrer Website zu überprüfen regelmäßig. Auch hier könnten Sie entscheiden, dass Sie sich das nicht leisten können oder nicht brauchen, und das ist in Ordnung. Berücksichtigen Sie es einfach.
ol>

Welche Schritte können Sie unternehmen? Reduzieren Sie die Folgen eines erfolgreichen Angriffs?

Wenn Sie der Meinung sind, dass das "Risiko" der Überschwemmung im unteren Stockwerk Ihres Hauses hoch, aber nicht hoch genug ist, um einen Umzug zu rechtfertigen, sollten Sie dies zumindest tun Bewegen Sie die unersetzlichen Familienerbstücke nach oben. Richtig?

1. Können Sie die Anzahl der Dienste reduzieren, die direkt dem Internet ausgesetzt sind? Können Sie eine Lücke zwischen Ihren internen Diensten und Ihren mit dem Internet verbundenen Diensten aufrechterhalten? Dies stellt sicher, dass selbst wenn Ihre externen Systeme gefährdet sind, die Chancen, dies als Sprungbrett für Angriffe auf Ihre internen Systeme zu verwenden, begrenzt sind.
2. Speichern Sie Informationen, die Sie nicht speichern müssen? Speichern Sie solche Informationen "online", wenn sie woanders archiviert werden könnten? Es gibt zwei Punkte zu diesem Teil; Das Offensichtliche ist, dass die Leute Ihnen keine Informationen stehlen können, die Sie nicht haben, und der zweite Punkt ist, dass je weniger Sie speichern, desto weniger müssen Sie warten und codieren, und daher gibt es weniger Chancen, dass Fehler auftreten Ihr Code- oder Systemdesign.
3. Verwenden Sie für Ihre Web-App die Prinzipien des "geringsten Zugriffs"? Wenn Benutzer nur aus einer Datenbank lesen müssen, stellen Sie sicher, dass das Konto, mit dem die Webanwendung dies bedient, nur Lesezugriff hat. Lassen Sie keinen Schreibzugriff und auf keinen Fall Zugriff auf Systemebene zu.
4. If Sie sind in etwas nicht sehr erfahren und es ist nicht zentral für Ihr Unternehmen. Erwägen Sie, es auszulagern. Mit anderen Worten, wenn Sie eine kleine Website betreiben, auf der über das Schreiben von Desktop-Anwendungscode gesprochen wird, und beschließen, kleine Desktop-Anwendungen von der Website aus zu verkaufen, sollten Sie Ihr Kreditkartenbestellsystem an jemanden wie Paypal "auslagern".
5. If Machen Sie das Wiederherstellen von gefährdeten Systemen zu einem Teil Ihres Notfallwiederherstellungsplans. Dies ist wohl nur ein weiteres "Katastrophenszenario", auf das Sie stoßen könnten, einfach eines mit seinen eigenen Problemen und Problemen, die sich von dem üblichen "Serverraum, der in Brand geraten ist" unterscheiden.
ol>

... und schließlich

Ich habe wahrscheinlich kein Ende von Dingen ausgelassen, die andere für wichtig halten, aber die obigen Schritte sollten es tun Helfen Sie zumindest dabei, die Dinge zu klären, wenn Sie das Pech haben, Hackern zum Opfer zu fallen.

Vor allem: Keine Panik. Denk nach bevor du handelst. Handeln Sie fest, sobald Sie eine Entscheidung getroffen haben, und hinterlassen Sie unten einen Kommentar, wenn Sie meiner Liste der Schritte etwas hinzufügen möchten.

Making a file "undeletable" in Linux is done with attributes, specifically the "immutable" attribute. See lsattr to see attributes, chattr to change them.

However, this only answers to the proximal cause. The important thing is that your machine was put through hostile control, and the hijacker installed things for his own devious goals. In particular, he most probably installed a rootkit in order to keep the entry open despite cleansing attempts like what you are trying to do. Rootkits may have altered the kernel and/or the system binaries in ways that will not be visible from the machine itself, and which will prevent their own removal. The bottom-line is that your machine cannot be saved; there is no way you can reliably make your machine clean again, save by reformatting the disk and reinstalling from scratch.

Save yourself from future worries and headaches; nuke your system from orbit.

Wie ich in der Antwort auf den Cross-Post von ServerFault sagte. Das ist eine gute Erklärung. Es hängt sicherlich auch von der Art des Angriffs ab; hoffentlich oder leider ist dieser Angriff so laut, dass Sie ihn als laufenden Angriff erkannt haben. Oder, wenn Sie sich ziemlich sicher sind, dass es sich um die frühen Phasen eines Angriffs handelt, würde ich sagen, dass diese Reihenfolge der Operationen eine gute Blaupause ist, der Sie folgen sollten.

Es besteht jedoch die Möglichkeit, dass die Ihnen bekannten Kompromissindikatoren möglicherweise nicht das gesamte Bild der Infektion zeichnen und das Trennen des PCs möglicherweise nicht in Ihrem besten Interesse ist, bis Sie das Ausmaß verstanden haben Es könnte besser sein, die Einstiegspunkte und die Systeme herauszufinden, über die Sie möglicherweise keine Kontrolle haben, bevor Sie beginnen, betroffene Systeme / Geräte aus dem Netzwerk zu entfernen.

Die Wahrheit ist möglicherweise, dass diese Akteure Ich war länger in Ihren Systemen als Sie dachten und wenn Sie Ihre Hand zu früh zeigen (dh ich habe endlich bemerkt, dass Sie in meinen Systemen sitzen), könnte dies die Ausrottung erheblich erschweren.

Es gibt keine wirklich einfache Antwort , aber der von RobM bereitgestellte ist ein mehr als angemessener Ausgangspunkt. Bei all dem Druck gibt es mehrere richtige Antworten, die genauso gut falsche Antworten sein können. Fast wie das Unsicherheitsprinzip gilt, wissen Sie nicht, ob die Antwort genau richtig ist, bis Sie es versuchen.

Auch das (PDF) NIST-Handbuch zur Behandlung von Computersicherheitsvorfällen sollte ebenfalls überprüft werden.

Sichern Sie alles, damit Sie die Forensik in einer Sandbox-Umgebung durchführen können.

Beginnen Sie dann bei 0 - ja bei NICHTS.

Neues Betriebssystem - vollständig patched.Applications - Aktuelle aktuelle Datendateien .... aus Ihren Backups (vor dem Zeitpunkt, an dem Sie nach Möglichkeit kompromittiert wurden). Wenn nicht, müssen Sie ALLES scannen.

Führen Sie dann eine gründliche Überprüfung durch, wie die Hacker hereingekommen sind, und stellen Sie sicher, dass dies nicht erneut geschieht.

Wenn Sie herausfinden, was passiert ist passiert - ergreifen Sie Maßnahmen, um sicherzustellen, dass es nicht erneut auftreten kann, und veröffentlichen Sie (intern und / oder extern), was Sie gefunden haben (Sie können die Gegenmaßnahmen weglassen).

Es sei denn, Sie lernen daraus - Sie wird wieder das gleiche Schicksal erleiden.

Die Methodik unterliegt dem genauen realen Szenario, aber unten wäre ein möglicher Ansatz.

• Was sind meine ersten Schritte? Wenn ich vor Ort ankomme, sollte ich den Server trennen, "Beweise" aufbewahren, gibt es andere anfängliche Überlegungen?

Antwort: Natürlich müssen Sie den Server trennen aus dem Netzwerk, sollte den Server jedoch nicht herunterfahren / herunterfahren, da Sie möglicherweise forensisch vorgehen müssen, um die Situation und die Auswirkungen des Vorfalls zu verstehen und Beweise zu bewahren (Daten in Ihrem Speicher können gelöscht werden, wenn Sie den Server herunterfahren).

Krisenmanagement und Kommunikation - Wenn Sie über ein Krisenmanagement und eine DR / BCP-Richtlinie verfügen, befolgen Sie die angegebenen Verfahren. Dies hängt wiederum vom Szenario ab. In diesem Fall kann es sich um eine Virusverbreitung handeln. Daher müssen Sie möglicherweise Ihren Prozess befolgen.

• Wie gehe ich vor, um Dienste wieder online zu stellen?

Antwort: Befolgen Sie wie oben angegeben die Anweisungen Ihres Krisenmanagements / DR / BCP. Dies kann je nach Situation variieren.

Wenn dieser Virus beispielsweise eine Zeitbombe war oder durch eine Aktion auf dem Server und einen Ransomware-Angriff ausgelöst wurde, ist es besser, den DR nicht sofort aufzurufen (dies kann ausgelöst werden) eine andere Malware, die von Ihrem DR-Server verbreitet wird). Die beste Methode wäre, die Auswirkungen des Vorfalls auf Ihr Netzwerk zu bewerten und dann die erforderlichen Maßnahmen zu ergreifen, um Ihre Dienste wiederherzustellen.

• Wie verhindere ich, dass dasselbe sofort wieder passiert?

Antwort: Die Grundursache des Vorfalls muss so schnell wie möglich ermittelt werden, um zu verhindern, dass derselbe Vorfall erneut auftritt. Wie in der obigen Antwort angegeben, müssen Sie in einem Ransomware-Szenario möglicherweise sicherstellen, dass die Malware nicht auf Ihren DR / Backup übertragen wird.

Wenn der Vorfall aufgrund einer Sicherheitsanfälligkeit in Ihrem Netzwerk aufgetreten ist (z. B. wurde versehentlich ein Firewall-Port geöffnet und der Angriff über diesen Port erfolgte), müssen sofort Maßnahmen ergriffen werden, um die bekannte / identifizierte Sicherheitsanfälligkeit zu schließen und das Auftreten des Vorfalls zu vermeiden wieder.

• Gibt es Best Practices oder Methoden, um aus diesem Vorfall zu lernen?

Antwort: Ja, jeder Vorfall könnte Aktualisieren Sie daher Ihre Krisenmanagement- / DR / BCP-Verfahren, um das Lernen solcher Vorfälle widerzuspiegeln.

Es wird immer empfohlen, eine proaktive Überwachung / Vorfallidentifizierung einzurichten, um eine frühzeitige Erkennung zu vermeiden Solche Vorfälle. Sie können beispielsweise ein SOC-Tool (Security Operations Center) oder ein SIEM-Tool (Security Incident Event Management) bereitstellen.

• Wenn ich einen Incident Response Plan zusammenstellen möchte, wo würde ich das tun? Sollte dies Teil meiner Disaster Recovery- oder Business Continuity-Planung sein?

Antwort: Dies sollte angezeigt werden uld Teil Ihres BCP / DR-Plans sein und normalerweise im Krisenmanagement behandelt werden (Teil des BCP-Plans).