Cuando un servidor se rootea ( por ejemplo, una situación como esta ), una de las primeras cosas que puede decidir hacer es la contención . Algunos especialistas en seguridad aconsejan no ingresar la remediación inmediatamente y mantener el servidor en línea hasta que se complete el análisis forense. Esos consejos son generalmente para APT . Es diferente si tiene infracciones ocasionales de script kiddie , por lo que puede decidir remediar (arreglar las cosas) antes. Uno de los pasos en la remediación es la contención del servidor. Citando la respuesta de Robert Moir : "desconecta a la víctima de sus asaltantes".
Se puede contener un servidor tirando del cable de red o del cable de alimentación .
¿Qué método es mejor?
Teniendo en cuenta la necesidad de:
- Proteger a las víctimas de daños mayores.
- Ejecutar forenses exitosos
- (Posiblemente) Protección de datos valiosos en el servidor
Editar: 5 supuestos
Asumiendo:
- Lo detectó temprano: 24 horas.
- Desea recuperarse temprano: 3 días de 1 administrador de sistemas en el trabajo (forense y recuperación).
- El servidor no es una máquina virtual o un contenedor capaz de tomar una instantánea capturando el contenido de la memoria del servidor.
- Decide no intentar el enjuiciamiento.
- Sospecha que el atacante puede estar utilizando algún tipo de software (posiblemente sofisticado) y este software todavía se está ejecutando en el servidor.