Что делать если сервер "скомпрометирован" или взломан?

Question

Использую Ubuntu на VPS для хостинга небольшого сайта. Недавно получил уведомление от провайдера о том, что на моей VPS идет какая то непонятная активность и что возможно мой сервер взломан. 

Что делать? Какой план действий правильный и что делать нельзя?

• Каковы первые шаги? Нужно ли немедленно выключить VPS?
• Как вернуть свой сайт в онлайн, пока все будет выключено? 
• Как защититься от подобных проблем в будущем?
• Хотелось бы извлечь урок, что бы в дальнейшем четко знать что нужно делать. 

Хелп.

Answer 1

Я думаю что единственно правильного алгоритма действий нет, но есть некоторые правила.

1. Во-первых, никакой паники. Паника - ваш враг.
2. Если вы знаете какой сервис был взломан - немедленно отключите его. Например, если взломан Apache - погасите его немедленно
3. Далее. Сделайте бекап. Немедленно. Скопируйте все ценные данные куда то в другое место. Хотя бы локально к себе на лептоп, если проект небольшой
4. Измените все пароли. Именно ВСЕ. Пароль SSH, пароли на админку, пароли баз данных
5. Если ваш сервер содержал чьи то данные (например, у вас интернет магазин или что то такое). Немедленно сообщите людям, данные которых могли быть взломаны. Во-первых, это правильный шаг с моральной точки зрения. А во-вторых, так вы обезопасите себя от обвинений в сокрытии угрозы (пускай даже это случилось не по вашей вине).

Не хочу писать много - как говорится, лучше меньше, но по делу. Быть может, остальные участники форума поделятся своми мыслями.

Comments

Спасибо за подробный ответ. Немного погуглив, нашел интересный документ: https://resources.sei.cmu.edu/asset_files/WhitePaper/2000_019_001_496741.pdf