Según Mandiant, no debes:
Error # 1: Ingresando de inmediato en "modo remediaton", también conocido como "Whack-A-Mole"
... como se describe aquí: enlace
¿Hay escenarios en los que es prudente tomar medidas inmediatas desconectándose?
Combinado con esta pregunta, ya que las respuestas deberían ser útiles y similares:
Cuando un servidor se enraiza (por ejemplo, una situación como esta), una de las primeras cosas que puede decidir hacer es la contención. Algunos especialistas de seguridad aconsejan no ingresar remediación de inmediato y mantener el servidor en línea hasta que se completen los análisis forenses. Esos consejos son usualmente para APT. Es diferente si tiene infracciones ocasionales de Script para niños, por lo que puede decidir remediar (arreglar las cosas) temprano. Uno de los pasos en la remediación es la contención del servidor. Citando la respuesta de Robert Moir: "desconecte a la víctima de sus atracadores".
Se puede contener un servidor tirando del cable de red o del cable de alimentación.
¿Qué método es mejor?
Teniendo en cuenta la necesidad de:
- Proteger a las víctimas de daños mayores
- Ejecutando forenses exitosos
- (Posiblemente) Protegiendo datos valiosos en el servidor
Edición: 5 suposiciones
Suponiendo:
- Lo detectaste temprano: 24 horas.
- Desea recuperarse temprano: 3 días de 1 administrador de sistemas en el trabajo (análisis forense y recuperación).
- El servidor no es una máquina virtual o un contenedor que pueda tomar una instantánea que capture el contenido de la memoria del servidor.
- Usted decide no intentar enjuiciar.
- Sospecha que el atacante puede estar usando algún tipo de software (posiblemente sofisticado) y este software todavía se está ejecutando en el servidor.