A primeira coisa que eu faria seria retirá-lo da rede pelo menos até eu entender o que é exatamente o dano. Avaliar o que foi comprometido em tempo hábil é mais crucial.
O que você faria como primeira coisa se seu site fosse hackeado? Tirando o site da net? ou reverter um backup? não é verdade ou? Você fez alguma experiência dessa maneira?
A primeira coisa que eu faria seria retirá-lo da rede pelo menos até eu entender o que é exatamente o dano. Avaliar o que foi comprometido em tempo hábil é mais crucial.
Coloque o site offline.
Isso é crucial. Se o intruso ainda estiver no seu sistema e você começar a bisbilhotar, ele poderá perceber que você detectou a presença dele e tentar cobrir as faixas (por exemplo, excluir itens).
Leve off-line e restaure a máquina inteira, não apenas as páginas da web, dos seus backups. Então, antes de colocá-lo novamente on-line, corrija o buraco que eles usaram para entrar.
Espero que sua organização tenha um documento escrito que especifique os passos a serem tomados, quem está envolvido, quem deve ser contatado. Se não começar a escrever um imediatamente. Você denunciou à polícia a unidade de crimes cibernéticos, etc.? Não espere até a próxima vez.
Altere suas senhas e restaure a partir de um backup. Em seguida, verifique seus registros, entre em contato com seu host, etc.
Isso depende de vários fatores. Isso inclui coisas como a sensibilidade dos dados do seu site e o custo de perda ou corrupção de dados hospedados no seu site.
Eu acredito que a primeira coisa a fazer é avaliar o nível de ameaça em termos do nível de dano e custo de reparo. A próxima coisa a fazer é agir de acordo.
Mais tarde, você pode analisar os arquivos comprometidos.