因此,这些天来,关于被黑客入侵的机器被用于传播恶意软件和僵尸网络 C&C 的讨论不断出现,但有一个问题我并不清楚,那就是一旦执法机构将某台服务器确定为攻击/ APT 的源头或控制者,并且该服务器是我的集群/数据中心上的 VPS,他们会做什么?
他们把整个机器都拿走了吗?
这个选项似乎有很多附带损害,所以我不确定会发生什么,也不知道系统管理员在保住我们的工作的同时帮助执法部门开展工作的最佳做法是什么!
答案1
(免责声明 - 我是一名计算机取证和计算机安全管理本科生。当地法律和 LEO 协议可能有所不同)
据我所知,我实际上还没有看到专门针对 VPS 的协议。这里有几件事需要注意。执法机构并没有回避过去曾夺取过共同拥有的服务器或者甚至无关的服务器“以防万一”一般来说,坦白地说,附带损害是不是对他们来说,这是一件大事。如果机器里有证据,他们很可能会没收整台机器。因此,第一道防线就是,不要处于可能发生这种情况的境地。
实际上,熟练的取证专业人员可能希望进行现场取证,以“现场”检查可疑服务器的行为。他们可能还会发现备份有助于确定问题发生的时间。假设您处理一个这样的问题。话虽如此,经过适当培训的取证人员并不像人们希望的那样普遍 - 我的班级里有相当多的警察,这是有原因的,而且在许多地方,取证专家是学习取证的警察,而不是受雇为执法部门工作的系统管理员或网络取证专家类型的人。处理后者可能比前者更容易。更好的是。让法律部门来处理,你只需做你想做的事需要到。
在公司内部,这是你在制定 IR/DR 计划时需要考虑的事情 - 因为服务器被占用是灾难。您是否有政策规定可以向执法部门发布哪些信息?您是否可以与他们合作记录硬件的转移(这会使你们双方的生活更轻松 - 他们开始保管链,而你们的关系也会更好)。如果没有一群随机的非系统管理员乱搞你的线路,那也很好。
理论上,如果停机是一个问题,那么从备用池中获取服务器并从上次备份中恢复其内容可能是一个选择。这只是另一个问题 - 只要您保留完好的文档和备份,您手头上就应该有您需要的一切。
SANS 和 ACPO 等机构提供了一些有用的提示,说明警方会关注哪些方面。此外,请咨询贵公司的法律部门,了解当地可能有哪些要求。