Soutenez ce projet
Retour aux modules

Le redémarrage fatal

Un serveur compromis a été redémarré trop vite. Identifiez ce qui a été perdu comme preuve et pourquoi.

Niveau : debutant+100 Pts

📂 Rapport d'Incident Initial

Un système Linux de production hébergeant des données clients critiques montre des signes de compromission active (connexions suspectes sortantes vers un serveur de commande & contrôle et un processus inconnu consommant 100% de CPU). Un administrateur système junior, paniqué par l'alerte de sécurité, s'apprête à redémarrer le serveur physique à distance via son interface de gestion IPMI.

Votre Score global : 0 PtsStatut : En cours

1. Observer : Identifier les données volatiles

L'enquêteur en cybersécurité doit savoir faire la différence entre la mémoire volatile (RAM) et la mémoire persistante (Disque). Si le serveur redémarre, certaines preuves disparaissent instantanément.