Atualizar imediatamente o plugin vulnerável do CMS, reiniciar o serviço httpd e notificar a equipe de gestão sobre o incidente concluído, pois o reinício do serviço sobrescreve o binário malicioso em memória, a atualização elimina a vulnerabilidade explorada e a continuidade do serviço minimiza o impacto nos usuários.

Aguardar a conclusão do horário de expediente, registrar o incidente no sistema de chamados com prioridade alta e notificar a gerência de TI para deliberação na manhã seguinte, pois intervenções emergenciais fora do horário comercial exigem autorização formal e podem causar impacto operacional desnecessário.

Desligar imediatamente o servidor, registrar o horário do desligamento no ticket de incidente e, em seguida, reinstalar o sistema operacional do zero a partir de imagem homologada, pois o desligamento interrompe a exfiltração e a reinstalação elimina qualquer persistência do atacante na máquina.

Alterar as credenciais de acesso ao servidor, reiniciar o serviço httpd para eliminar o processo malicioso da memória e aplicar o patch no plugin vulnerável, pois a troca de senha revoga o acesso do atacante, o reinício encerra o processo comprometido e o patch elimina o vetor de entrada original.

Isolar o servidor da rede (desconectar a interface ou bloquear via firewall) para interromper imediatamente a exfiltração de dados, preservar evidências forenses – logs, imagem de memória e disco – antes de desligar o servidor, e notificar formalmente a equipe de segurança da informação acionando o processo de resposta a incidentes.