Что бы вы сделали в первую очередь, если бы ваш сайт взломали? Забираем сайт из сети? или откатить резервную копию? не правда ли? Был ли у вас подобный опыт?
Первое, что я сделал бы, это снял бы его с сети хотя бы до тех пор, пока не пойму, в чем именно повреждение. Своевременная оценка того, что было скомпрометировано, имеет решающее значение.
Переведите сайт в автономный режим.
Это очень важно. Если злоумышленник все еще находится в вашей системе, и вы начинаете ковыряться, он может заметить, что вы заметили его присутствие, и попытаться замести следы (то есть удалить вещи).
Переведите его в автономный режим и восстановите из резервных копий всю машину, а не только веб-страницы. Затем, прежде чем снова включить его, заделайте отверстие, в которое они входили.
Надеюсь, у вашей организации есть письменный документ, в котором указаны шаги, которые необходимо предпринять, кто участвует, с кем следует связаться. Если не начать писать немедленно. Сообщали ли вы об этом в подразделение полиции по киберпреступлениям и т. Д.? Не ждите следующего раза.
Измените пароли, а затем восстановите из резервной копии. Затем проверьте свои журналы, свяжитесь с вашим хостом и т. Д.
Это зависит от нескольких факторов. Сюда входят такие вещи, как конфиденциальность данных вашего сайта и стоимость потери или повреждения данных, размещенных на вашем сайте.
Я считаю, что первое, что нужно сделать, - это оценить уровень угрозы с точки зрения уровня повреждений и стоимости ремонта. Следующее, что нужно сделать, это действовать соответственно.
Позже вы сможете проанализировать скомпрометированные файлы.