Quando detectado que o ambiente Web foi comprometido, algumas ações devem ser feitas imediatamente para atenuar e resolver o problema. Abaixo listaremos alguns procedimentos que devem ser realizados na ocorrência deste tipo de incidente.
- Retirar o servidor da rede. Esse é o único modo de garantir o isolamento do ambiente. Caso não seja possível, parar o serviço do software que hospeda o ambiente (apache, nginx, IIS, etc).
- Fazer um backup completo da máquina. Este backup pode ser útil para uma análise futura.
- Descobrir como o atacante comprometeu o ambiente. Normalmente este passo é “pulado”, e faz com que o problema não seja de fato resolvido. A análise dos logs é fundamental para garantir a segurança do ambiente.
- Alguns procedimentos podem ser realizados para minimizar os riscos para colocar o ambiente novamente no ar:
1) Caso essa maquina rode sistema operacional unix eh importante verificar se comandos importantes nao foram alterados por algum rootkit. Utilize o programa chkrootkit disponivel em http://www.chkrootkit.org.
2) Verifique se o atacante não inseriu código malicioso no sistema de arquivos. Você pode utilizar o Clamav (http://www.clamav.net) para auxiliar nessa tarefa. - Caso esse ambiente possua software CMS (Joomla, WordPress, Drupal, etc), é essêncial que os mesmos estejam atualizados, inclusive os plugins.