Wat moet je onmiddellijk doen als je gehackt bent?

Wat onmiddellijk doen als je gehackt bent

Er zijn een aantal dingen die je meteen moet doen vanaf het moment dat je effectief gehackt bent. Die dingen geven we hieronder allemaal mee.

Download het After the Hack e-book

1. Geen paniek

Panikeer niet. Doe niks overhaast, maar probeer ook niet te doen alsof er niks gebeurd is of dingen te verbergen. Je moet goed begrijpen dat het kwaad al geschied is en dat je er niks meer aan kan veranderen. Wees dus realistisch en denk goed na welke stappen je moet ondernemen om de gevolgen van de hack zo klein mogelijk te houden. Het is tijd om je crisisplan en eventuele business continuity en disaster recovery plannen uit de kast te halen. Als je die niet hebt, raden we je aan om onze After Hack Checklist te downloaden en stap voor stap te volgen. Als je ze op de juiste manier volgt, kan je de impact van de hack zo veel mogelijk beperken.

2. Breng je hosting provider op de hoogte

Wanneer je zelf je website of server host, moet je alleen aan de slag of een security expert onder de arm nemen. Als je een hosting provider hebt, is het je eerste taak om die in te lichten. Als die hosting provider dat – zeker als het om managed hosting gaat – al niet zelf aan jou gemeld heeft. Hosting providers hebben ervaring met dit soort verhalen en kunnen je dus zeker hulp bieden of laten weten wat je best kan doen.

3. Beslis of je de server/website offline haalt of niet

Een eerste raad die je vaak leest is om de server onbeschikbaar te maken door de netwerkkabel of stroomkabel uit te trekken. Maar is dat een goed idee? Door de server zomaar offline te halen of af te sluiten, kan je immers heel wat bewijsmateriaal en/of nuttige informatie over de manier waarop de hacker is binnengeraakt vernietigen. Wanneer kies je dan voor welke methode? Wanneer je vrij zeker bent dat het gaat om script kiddies, kan je inderdaad de server meteen isoleren en herstellen. Een aantal basisregels om deze methode te gebruiken als je gehackt bent:

  1. Je hebt de hack binnen de 24 uur vastgesteld.
  2. Je wil snel terug operationeel zijn (herstel is belangrijker dan forensics).
  3. Je server is geen Virtual Machine of een Container die een snapshot van het geheugen van de server kan nemen.
  4. Je bent niet van plan de hacker te vervolgen.
  5. Je denkt dat de hacker nog steeds bepaalde software heeft draaien op je server

Als het om een gerichte aanval gaat, in vaktermen een Advanced Persistent Treath (APT), is het beter om via digital forensics proberen zoveel mogelijk informatie te verzamelen of de hacker op te sporen voor je de server offline haalt of afsluit. Hierbij moet je uiteraard wel zorgen dat de schade niet groter kan worden en dat de hacker niet nog meer data of informatie kan verzamelen.

4. Vervang alle wachtwoorden op alle toestellen

Vervang alle wachtwoorden – en we bedoelen ook echt ALLE wachtwoorden – die gebruikt werden op de server. Denk aan wachtwoorden van e-mail, control panels, CMS-systemen, enz. Doe dit op alle toestellen die toegang hadden tot de gehackte website of server.

5. Controleer ook andere websites & servers

Als de kans bestaat dat de hacker via de website of server die hij gehackt heeft ook toegang had tot andere websites of servers, controleer die dan grondig. Geef extra aandacht aan servers waarop eventuele belangrijke of gevoelige data staat.

6. Maak een back-up

Maak een volledige back-up van je gehackte website of server. Dit is NIET de back-up die je later zal gebruiken om alles terug te herstellen, want de malware bevindt zich mee in deze back-up. Deze back-up is vooral bedoeld om zoveel mogelijk bewijsmateriaal te kunnen bewaren over de hack en wat de hacker allemaal gedaan heeft.

7. Zoek uit hoe de hacker is binnengeraakt

Eens dit alles gedaan is kan je beginnen aan je post-mortem onderzoek. Bedoeling is om te gaan bepalen wat er is misgelopen, hoe de hacker erin geslaagd is binnen te komen en welke schade hij allemaal heeft kunnen aanrichten.

Meer weten over wat je daarna nog moet doen als je gehackt bent?

Download het After the Hack e-book

,

Gerelateerde artikelen

Wat is spoofing

Als cybercriminelen zich vermommen: wat is spoofing en hoe voorkom je het?

  • 22 december 2022
  • Leestijd: 5 min

Wat is spoofing? Cybercriminelen die zich voordoen als een bank, de belastingdienst of nog erger als jouw bedrijf! Je komt dus maar beter snel te weten hoe je dit voorkomt.
Brute-force attack: zo verzet je je ertegen

Brute-force attack: zo verzet je je ertegen

  • 11 juli 2022
  • Leestijd: 4 min

Hackers maken niet alleen gebruik van bekende zwakke plekken en bugs in software, besturingssystemen of content management systemen om toegang te krijgen tot jouw data of jouw website binnen te...

Hoe beschermt Combell jou tegen DDoS-aanvallen?

  • 4 juni 2021
  • Leestijd: 2 min

DDoS-aanvallen worden talrijker en krachtiger. Gelukkig zijn er mogelijkheden om jezelf beter te wapenen. Zoals klant zijn bij Combell 😉.