เมื่อเซิร์ฟเวอร์ได้รับการฝังราก ( เช่นสถานการณ์เช่นนี้ ) ซึ่งเป็นหนึ่งในสิ่งแรกที่คุณอาจตัดสินใจที่จะทำคือการบรรจุ ผู้เชี่ยวชาญด้านความปลอดภัยบางคนไม่แนะนำให้เข้าสู่การแก้ไขทันทีและทำให้เซิร์ฟเวอร์ออนไลน์จนกว่าการนิติเวชจะเสร็จสมบูรณ์ ผู้ให้คำแนะนำแก่มักจะสำหรับAPT มันแตกต่างกันถ้าคุณมีการรั่วไหลของkiddie Scriptเป็นครั้งคราวดังนั้นคุณอาจตัดสินใจแก้ไข (แก้ไขสิ่งต่าง ๆ ) ก่อน หนึ่งในขั้นตอนในการแก้ไขคือการควบคุมเซิร์ฟเวอร์ การอ้างอิงจากคำตอบของ Robert Moir - "ตัดการเชื่อมต่อกับเหยื่อจากมิจฉาชีพ"
เซิร์ฟเวอร์สามารถที่มีอยู่โดยดึงสายเคเบิลเครือข่ายหรือสายไฟ
วิธีไหนดีกว่ากัน?
คำนึงถึงความจำเป็นในการ:
- ปกป้องผู้ที่ตกเป็นเหยื่อจากความเสียหายต่อไป
- การดำเนินการทางนิติวิทยาศาสตร์ที่ประสบความสำเร็จ
- (อาจเป็นไปได้)การปกป้องข้อมูลที่มีค่าบนเซิร์ฟเวอร์
แก้ไข: 5 ข้อสมมติฐาน
สมมติว่า:
- คุณตรวจพบเร็ว: 24 ชั่วโมง
- คุณต้องการกู้คืนก่อนกำหนด: 3 วันจาก 1 ระบบผู้ดูแลระบบในงาน (นิติเวชและการกู้คืน)
- เซิร์ฟเวอร์ไม่ได้เป็นเครื่องเสมือนหรือคอนเทนเนอร์ที่สามารถถ่ายภาพหน้าจอที่จับเนื้อหาของหน่วยความจำเซิร์ฟเวอร์
- คุณตัดสินใจที่จะไม่พยายามดำเนินคดี
- คุณสงสัยว่าผู้โจมตีอาจใช้ซอฟต์แวร์บางรูปแบบ (อาจซับซ้อน) และซอฟต์แวร์นี้ยังคงทำงานบนเซิร์ฟเวอร์