Что Вы сделаете, когда узнаете, что один из Ваших серверов был взломан?
Недавно мне выпал шанс услышать, как Кайл Рэнкин (Kyle Rankin) выступал с очень впечатляющей речью на эту тему на Юго-Западном Саммите Drupal в Хьюстоне, штат Техас.
Действия, которые Вы решите предпринять, имеют огромное значение, и стоит подготовиться до наступления этого рокового момента.
Большинство будут тратить время на сервере в попытках выяснить, как нарушителю удалось получить доступ к машине, а также что именно он сделал.
Это проблематично не только с той точки зрения, что у взломщика будет больше времени на то, чтобы нанести вред, но и с той, что чем дольше сервер включен в сеть, тем больше вероятность того, что будет утеряна важная для судебных экспертов информация.
Кайл же заявил, что наиболее правильный первый шаг – выдернуть вилку из розетки. Не стоит разбираться в ситуации и изящно нажимать кнопку «выключить».
Мы используем файловую систему с ведением журнала по определенной причине, и сервер, будь то Fujitsu PRIMERGY TX1310 M1, или любой другой, вероятно, будет воссоздаваться с нуля, так что риск поврежденных в результате выключения из сети данных минимален.
Как только будет отключено питание машины, Вам необходимо снять образ взломанного диска с помощью программы типа dd и сделать копию образа диска, чтобы продолжить свою работу и случайно не повредить улики.