Ketika server di-root ( mis. Situasi seperti ini ), salah satu hal pertama yang mungkin Anda putuskan untuk lakukan adalah penahanan . Beberapa spesialis keamanan menyarankan untuk tidak segera masuk remediasi dan menjaga server online sampai forensik selesai. Saran tersebut biasanya untuk APT . Ini berbeda jika sesekali Anda mengalami pelanggaran Script kiddie , sehingga Anda dapat memutuskan untuk memulihkan (memperbaiki sesuatu) lebih awal. Salah satu langkah dalam remediasi adalah penahanan server. Mengutip dari Jawaban Robert Moir - "putuskan korban dari para perampoknya".
Sebuah server dapat diisi dengan menarik kabel jaringan atau kabel daya .
Metode mana yang lebih baik?
Mempertimbangkan kebutuhan untuk:
- Melindungi korban dari kerusakan lebih lanjut
- Melaksanakan forensik yang sukses
- (Kemungkinan) Melindungi data berharga di server
Edit: 5 asumsi
Asumsi:
- Anda mendeteksi lebih awal: 24 jam.
- Anda ingin memulihkan lebih awal: 3 hari dari 1 sistem admin di tempat kerja (forensik dan pemulihan).
- Server bukan Mesin Virtual atau Wadah yang dapat mengambil snapshot mengambil konten dari memori server.
- Anda memutuskan untuk tidak melakukan penuntutan.
- Anda mencurigai penyerang mungkin menggunakan beberapa bentuk perangkat lunak (mungkin canggih) dan perangkat lunak ini masih berjalan di server.