لعل الجميع واجه في مرحلة ما مشكل إختراق أحد تطبيقات الويب الخاصة به أو التي يقوم بإدارتها وكل شخص له طريقة التعامل مع مثل هذه الحوادث .
الاستراتيجية المتعبة قد تكون مختلفة من بيئة الى اخرى و لكن في العموم
*ايقاف الموقع و اقصد بذالك حصر الوصول الى الموقع ب ip الخاص بك فقط على جميع المنافذ
*تفحص آخر الملفات المتغيرة ( لا اثق في نتائج هذه المرحلة لانه من الممكن تغير ذالك عن طريق الامر touch )
*محاولت عمل مسح لملفات الموقع بطريقة يدوية و اوتوماتيكية في نفس الوقت مثل استخدام clamav + grep
لانو في الغالب يترك المخترقون php backdoors
*تصفح ملفات logs و محاولت معرفة مكان الثغرة + تصفح error logs لانه في الغالب يكون فيه الكثير من المعلومات
*استخدام ادات تثق بها لايجاد rootkits + معاينة ssh keys + أي مستخدم تم اضافته
*اذا تم التعرف على الثغرة عمل ترقيع لها او عمل ترقيع افتراضي في حالت ما اذا كان الترقيع يتطلب الكثير من البرمجة و التعديل virtual patching
شاركونا بإستراتجيات التي تتبعونها في مثل هذه الحوادث .
