Ha igen gyanús, hogy megnyomták a szervert, akkor az alábbi lépéseket tudnám javasolni:
- poweroff
- diszkek ki
- új, szűz diszkek be
- új rendszer felrak, lehetőleg netkapcsolat nélkül, vagy más címen keresztül, mint amit eddig kintről el lehetett érni
- minden elképzelhető biztonsági patch plusz hardening felrak
- régi kivett diszkek másik gépbe berak, ha bármilyen módon megoldható, read only módban
- régi filerendszerekről image-eket készít (csak olvasás ugye)
- image-eken analizálja a betörést, károkat, stb.
Ha a régi rendszer működésének visszaállításához visszatöltés is szükséges (webszerver, db, ilyenek), akkor azt nagyon körültekintően kell elvégezni, és minden visszatöltött állományt ellenőrizni kell (configok, ilyesmik pláne).
Ez alsó hangon is egy alvásmentes hét, de lelkiismeretes rendszergazdi minimum így jár el.
Még vmi: az eredeti diszk az egyetlen bizonyíték arra, hogy mi történt, ezért kell érintetlennek maradnia, ezért mondtam a poweroff-ot is, mert sok oprendszer szabvány shutdown esetén egyrészt teleírja a logokat, amivel mondjuk egy Win esetén a régi logok esetleg "kipöröghetnek", másrészt meg olyan változásokat eszközöl a filerendszerekben, amik szintén tűntethetnek el bizonyítékokat (pl sokan wipe-olják a swap-et shutdown alatt, csak ezzel is piszok sok infó veszhet el).
Ezért kell az image-eken vizsgálódni, ott bármit nyugodtan el lehet rontani, és újra lehet kezdeni.
Dokumentált lépések után újra lehet játszani az egészet, és ha az jön ki, hogy Pistike sáros, akkor az bizonyítottnak tekinthető.
Magyarországon a hatályos törvények szerint a logokon végzett bármilyen transzformáció után azok már nem tekinthetőek bizonyítéknak, ennek fényében érdemes a logrotate utáni tömörítést használni... :)