서버가 루팅되면 ( 예 : 이와 같은 상황 ) 가장 먼저 결정해야 할 것은 격리 입니다. 일부 보안 전문가는 법의학이 완료 될 때까지 즉시 치료에 들어 가지 않고 서버를 온라인 상태로 유지하는 것이 좋습니다. 이러한 조언은 보통 APT를 위한 것 입니다. 가끔씩 스크립트 키디 위반이 발생하는 경우와 다르므로 조기에 문제를 해결하기로 결정할 수 있습니다. 치료 단계 중 하나는 서버를 격리 하는 것입니다. Robert Moir의 답변 에서 인용 - "피해자를 대상에서 분리하십시오".
네트워크 케이블 또는 전원 케이블 을 당겨 서버를 포함 할 수 있습니다 .
어떤 방법이 더 낫습니까?
다음의 필요성을 고려합니다.
- 추가 피해로부터 피해자를 보호
- 성공적인 법의학 집행
- (아마도) 서버에서 중요한 데이터 보호
편집 : 5 가정
가정 :
- 일찍 발견했습니다 : 24 시간.
- 조기 복구 : 작업에서 3 일 동안 1 명의 시스템 관리자 (법의학 및 복구).
- 서버가 서버 메모리의 내용을 캡처하는 스냅 샷을 작성할 수있는 가상 머신 또는 컨테이너가 아닙니다.
- 기소를 시도하지 않기로 결정했습니다.
- 침입자가 어떤 형태의 소프트웨어 (아마도 정교한)를 사용하고 있고이 소프트웨어가 여전히 서버에서 실행되고 있다고 의심합니다.