所以现在谈到被黑客使用的机器被用于恶意软件传播和僵尸networkingC&C,我不清楚的一个问题是,执法机构一旦将服务器识别为攻击/ APT和该服务器是在我的集群/数据中心的VPS?
他们拿走整个机器吗?
这个选项似乎有很多与之相关的附带损害,所以我不确定会发生什么情况,以及系统pipe理员在保持工作的同时帮助执法工作的最佳做法。
(免责声明 – 我是计算机取证和计算机安全pipe理本科,本地法律和LEO协议可能有所不同)
据我所知,我没有看到专门针对VPS的协议。 这里有几件事要看。 执法部门过去一直没有放弃共同拥有的服务器, 甚至是无关的服务器 ,一般来说,相当坦率的附带损害不是他们的问题。 如果机器上有证据的话,很可能会抓住整个机器。 因此,第一道防线就是没有处于可能发生这种情况的状态。
实际上,一个熟练的法医专业人员可能希望做现场取证,以检查嫌疑服务器“现场”的行为。 他们也可能会发现备份有助于确定问题何时发生。 假设你处理一个,那就是。 也就是说,经过适当培训的法医人员不如人们所希望的那么普遍 – 我们class有相当数量的警察是有原因的,而且在许多地方,法医专家是学习取证的警察,而不是系统pipe理员或networking取证专家types的民间雇佣为执法工作。 处理后者可能比前者容易。 更好。 让法律部门处理它,只是做你需要的。
在公司内部,这是你需要考虑到你的IR / DR计划的事情 – 因为让一台服务器陷入困境是一场灾难。 你有针对可以释放给执法机构的信息的政策吗? 你能否与他们合作来logging硬件的转移(这使得你的生活变得更简单 – 他们开始了监pipe链,并且与他们的关系更好)。如果你没有随机一堆非系统pipe理员搞乱你的布线。
从理论上讲,如果停机是一个问题,从备用池中获取服务器并从上次备份中恢复其内容可能是一个选项。 它只是另一个问题 – 只要你保持完整的文档和备份,你应该有任何你需要的手头。
关于警察会看什么的几个有用的指针将来自像SANS和ACPO这样的地方。 同时与贵公司的法律部门讨论可能的本地要求。