Knowledge Base
План первичного реагирования на инцидент (IR)
Фазы реагирования
Категория: Incident Response · Риск: low
Фазы реагирования
1. Обнаружение и триаж (0–15 минут)
- [ ] Зафиксировать время обнаружения
- [ ] Определить затронутые системы
- [ ] Оценить масштаб (один сервер / несколько / вся инфраструктура)
- [ ] Уведомить команду (не по потенциально скомпрометированным каналам)
2. Сдерживание (15–60 минут)
# Изолировать сервер (заблокировать входящий трафик, кроме вашего IP)
ufw default deny incoming
ufw allow from YOUR_IP
# Снять снимок процессов и соединений до перезагрузки
ps auxf > /tmp/incident-ps.txt
ss -tlnp > /tmp/incident-ss.txt
netstat -antp > /tmp/incident-netstat.txt
last -a > /tmp/incident-last.txt
who > /tmp/incident-who.txt3. Сбор доказательств
# Сохранить логи
cp /var/log/nginx/access.log /tmp/incident-nginx-access.log
cp /var/log/auth.log /tmp/incident-auth.log
journalctl -u nginx --since "2h ago" > /tmp/incident-nginx-journal.txt
# Проверить изменённые файлы
find /var/www -newer /var/www/html/index.html -type f > /tmp/incident-changed-files.txt
# Проверить cron-задачи
crontab -l > /tmp/incident-crontab.txt
cat /etc/cron* 2>/dev/null >> /tmp/incident-crontab.txt4. Анализ
- [ ] Найти начальный вектор (exploit, брутфорс, социальная инженерия)
- [ ] Определить scope (какие данные затронуты)
- [ ] Выяснить timeline событий по логам
5. Восстановление
- [ ] Заменить скомпрометированные ключи и пароли
- [ ] Восстановить из чистого бэкапа (не последнего, если он тоже заражён)
- [ ] Обновить ОС и зависимости
- [ ] Закрыть найденный вектор атаки
6. Документирование и обучение
- [ ] Написать incident report (что/когда/как/последствия)
- [ ] Провести разбор (post-mortem) с командой
- [ ] Обновить процедуры и мониторинг
Контакты при инциденте
- Хостинг-провайдер: _______________
- Доменный регистратор: _______________
- Команда безопасности: _______________
- Юридический отдел: _______________