(Isenção de responsabilidade - Sou graduado em computação forense e segurança de computadores. As leis locais e os protocolos LEO podem ser diferentes)
Até onde sei, na verdade não vi protocolos especificamente relacionados a VPSs. Há algumas coisas para ver aqui. Agências de aplicação da lei não se esquivaram de confiscar servidores co-propriedade no passado ou mesmo os servidores não relacionados 'no caso' e geralmente, francamente, os danos colaterais não são um problema para eles. Se havia provas na máquina, é muito provável que eles aproveitem a coisa toda. Como tal, a primeira linha de defesa é não estar em uma situação em que isso possa acontecer.
Praticamente falando, um profissional forense perito pode desejar fazer perícias ao vivo para examinar o comportamento do servidor suspeito "in situ". Eles também podem encontrar backups úteis para determinar quando o problema aconteceu. Assumindo que você lida com um, é isso. Dito isso, pessoal forense adequadamente treinado é menos comum do que se espera - há um bom número de policiais na minha classe por uma razão, e em muitos lugares, especialistas forenses são policiais que aprenderam análise forense, não especialistas em computação forense ou cyber forense contratados trabalhar para a aplicação da lei. Lidar com este último pode ser mais fácil que o anterior. Melhor ainda. Deixe o departamento jurídico lidar com isso e faça o que você
Dentro da empresa, esse é o tipo de coisa que você precisa levar em conta para seus planos de RI / DR - já que ter um servidor é um desastre. Você tem políticas para o tipo de informação que pode liberar para a aplicação da lei? Você pode cooperar com eles para documentar a transferência do hardware (o que torna sua vida mais fácil - eles começam a cadeia de custódia, e você estaria em melhores condições com eles). Também é bom se você não tivesse um monte aleatório de não sysadmins brincando com sua fiação.
Em teoria, se o tempo de inatividade fosse um problema, obter um servidor de um pool sobressalente e restaurar o conteúdo dele a partir do último backup pode ser uma opção. É apenas mais um problema - desde que você tenha uma documentação completa e backups, você deve ter tudo o que precisa em mãos.
Alguns indicadores úteis sobre o que a polícia examinaria seriam de lugares como SANS e ACPO. Converse também com o departamento jurídico da sua empresa sobre quais requisitos locais podem ser.