Что делать при взломе сервера — отчет с Юго-Западного Саммита Drupal

взлом сервераЧто Вы сделаете, когда узнаете, что один из Ваших серверов был взломан?

Недавно мне выпал шанс услышать, как Кайл Рэнкин (Kyle Rankin) выступал с очень впечатляющей речью на эту тему на Юго-Западном Саммите Drupal в Хьюстоне, штат Техас.

Действия, которые Вы решите предпринять, имеют огромное значение, и стоит подготовиться до наступления этого рокового момента.

Большинство будут тратить время на сервере в попытках выяснить, как нарушителю удалось получить доступ к машине, а также что именно он сделал.

Это проблематично не только с той точки зрения, что у взломщика будет больше времени на то, чтобы нанести вред, но и с той, что чем дольше сервер включен в сеть, тем больше вероятность того, что будет утеряна важная для судебных экспертов информация.

Кайл же заявил, что наиболее правильный первый шаг – выдернуть вилку из розетки. Не стоит разбираться в ситуации и изящно нажимать кнопку «выключить».

Мы используем файловую систему с ведением журнала по определенной причине, и сервер, будь то Fujitsu PRIMERGY TX1310 M1, или любой другой, вероятно, будет воссоздаваться с нуля, так что риск поврежденных в результате выключения из сети данных минимален.

Как только будет отключено питание машины, Вам необходимо снять образ взломанного диска с помощью программы типа dd и сделать копию образа диска, чтобы продолжить свою работу и случайно не повредить улики.


Warning: call_user_func_array() expects parameter 1 to be a valid callback, function 'actions_post_nav' not found or invalid function name in /var/www/ch8648adac/www/linuxgid.ru/wp-includes/class-wp-hook.php on line 288