Jak szukać backdoorów od poprzedniej osoby IT?

Wszyscy wiemy, że tak się dzieje. Zgorzkniały stary informatyk zostawia tylne wejście do systemu i sieci, aby dobrze się bawić z nowymi facetami i pokazać firmie, jak złe są rzeczy bez niego.

Nigdy osobiście tego nie doświadczyłem. Najbardziej, czego doświadczyłem, to ktoś, kto łamał i kradł rzeczy tuż przed wyjazdem. Jestem jednak pewien, że tak się stanie.

Tak więc, przejmując sieć, której nie można całkowicie zaufać, jakie kroki należy podjąć, aby wszystko było bezpieczne?

To jest naprawdę bardzo trudne. Wymaga to bardzo kompletnego audytu. Jeśli jesteś pewien, że starsza osoba zostawiła za sobą coś, co wybuchnie lub będzie wymagać ponownego zatrudnienia, ponieważ tylko oni mogą ugasić pożar, czas założyć, że zostałeś zrootowany impreza wroga. Potraktuj to tak, jakby grupa hakerów weszła i ukradła rzeczy, a po ich bałaganie musisz posprzątać. Bo tak to jest.

• Kontroluj każde konto w każdym systemie, aby upewnić się, że jest ono powiązane z konkretnym podmiotem.
  • Konta, które wydają się być powiązane z systemami, ale nikt nie może ich rozliczać, nie można ufać.
  • Konta, które nie są z niczym związane, muszą zostać usunięte (i tak należy to zrobić, ale w tym przypadku jest to szczególnie ważne)
• Zmień dowolne hasło, z którym mogliby się zetknąć.
  • Może to stanowić poważny problem dla kont narzędziowych, ponieważ hasła te są często zakodowane na stałe.
  • Jeśli byli typem pomocy technicznej odpowiadającym na połączenia użytkowników końcowych, załóżmy, że mają hasło każdego, komu pomogli.
  • Jeśli mieli Administratora przedsiębiorstwa lub Administratora domeny w usłudze Active Directory, załóżmy, że wzięli kopię skrótu hasła przed wyjazdem. Można je teraz złamać tak szybko, że zmiana hasła w całej firmie będzie musiała zostać wymuszona w ciągu kilku dni.
  • Jeśli mieli dostęp do roota do dowolnego * nix boxa, załóżmy, że odeszli z hashami hasła.
  • Przejrzyj użycie klucza SSH z kluczem publicznym, aby upewnić się, że ich klucze zostały wyczyszczone, i sprawdź, czy klucze prywatne zostały ujawnione, gdy jesteś przy nim.
  • Jeśli mieli dostęp do dowolnego sprzętu telekomunikacyjnego, zmień dowolne hasło routera / przełącznika / bramy / PBX. To może być naprawdę królewski ból, ponieważ może to wiązać się z poważnymi awariami.
• W pełni skontroluj swoje ustalenia dotyczące bezpieczeństwa obwodowego.
  • Upewnij się, że wszystkie otwory zapory śledzą znane autoryzowane urządzenia i porty.
  • Upewnij się, że wszystkie metody zdalnego dostępu (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail itp.) Nie mają włączonego dodatkowego uwierzytelnienia, i sprawdź je w pełni pod kątem nieautoryzowanych metod dostępu.
  • Upewnij się, że zdalne łącza WAN śledzą osoby w pełni zatrudnione i zweryfikuj je. Zwłaszcza połączenia bezprzewodowe. Nie chcesz, żeby odeszli z firmowym modemem komórkowym lub smartfonem. Skontaktuj się ze wszystkimi użytkownikami, aby upewnić się, że mają odpowiednie urządzenie.
• W pełni kontroluj wewnętrzne ustalenia dotyczące uprzywilejowanego dostępu. Są to takie rzeczy, jak dostęp SSH / VNC / RDP / DRAC / iLO / IMPI do serwerów, których nie mają zwykli użytkownicy, lub jakikolwiek dostęp do wrażliwych systemów, takich jak lista płac.
• Współpracuj ze wszystkimi zewnętrznymi dostawcami i usługodawcami, aby upewnić się, że kontakty są prawidłowe.
  • Upewnij się, że zostały usunięte ze wszystkich list kontaktów i usług. Należy to zrobić po każdym wyjeździe, ale jest to teraz bardzo ważne.
  • Sprawdź, czy wszystkie kontakty są prawidłowe i mają poprawne informacje kontaktowe, w celu znalezienia duchów, które można podszyć.
• Zacznij polować na bomby logiczne.
  • Sprawdź całą automatyzację (harmonogramy zadań, zadania crona, listy wywołań UPS lub cokolwiek, co działa zgodnie z harmonogramem lub jest wyzwalane zdarzeniem) pod kątem oznak zła. Przez „wszystko” mam na myśli wszystko. Sprawdź każdy crontab. Sprawdź każdą automatyczną akcję w systemie monitorowania, w tym same sondy. Sprawdź każdy Harmonogram zadań systemu Windows; nawet stacje robocze. Jeśli nie pracujesz dla rządu w bardzo wrażliwym obszarze, nie będziesz w stanie pozwolić sobie na „wszystko”, rób tyle, ile możesz.
  • Sprawdź poprawność systemowych plików binarnych na każdym serwerze, aby upewnić się, że są takie, jakie powinny być. Jest to trudne, szczególnie w systemie Windows, i prawie niemożliwe jest działanie wstecz w systemach jednorazowych.
  • Zacznij polować na rootkity. Z definicji trudno je znaleźć, ale są na to skanery.

Nie jest to wcale łatwe, nawet zdalnie zamknięte. Usprawiedliwienie kosztu tego wszystkiego może być naprawdę trudne bez wyraźnego dowodu, że były administrator był w rzeczywistości złem. Całości powyższego nie da się nawet zrobić z majątkiem firmy, co będzie wymagało zatrudnienia konsultantów ds. Bezpieczeństwa, którzy wykonają część tej pracy.

Jeśli zostanie wykryte rzeczywiste zło, szczególnie jeśli zło jest w jakimś oprogramowaniu, najlepiej przeszkoleni specjaliści ds. Bezpieczeństwa określą szerokość problemu. Jest to również punkt, w którym można rozpocząć budowanie sprawy karnej, a naprawdę chcesz, aby ludzie, którzy są przeszkoleni w postępowaniu z dowodami, przeprowadzali tę analizę.

Ale tak naprawdę, jak daleko musisz się posunąć? Tutaj zaczyna się zarządzanie ryzykiem . Upraszczając, jest to metoda równoważenia oczekiwanego ryzyka ze stratą. Sysadmini robią to, gdy decydujemy, w której lokalizacji poza witryną chcemy umieścić kopie zapasowe; sejf bankowy kontra centrum danych poza regionem. Ustalenie, jak wiele z tej listy wymaga śledzenia, to ćwiczenie z zarządzania ryzykiem.

W takim przypadku ocena rozpocznie się od kilku rzeczy:

• Oczekiwany poziom umiejętności zmarłego
• Dostęp zmarłych
• Oczekiwanie, że zło się spełniło
• Potencjalne uszkodzenie jakiegokolwiek zła
• Wymogi prawne dotyczące zgłaszania popełnionego zła w porównaniu z zapobiegawczo znalezionym złem. Generalnie musisz zgłosić pierwsze, ale nie później.

Decyzja o tym, jak daleko w dół powyżej króliczej nory do nurkowania będzie zależeć od odpowiedzi na te pytania. W przypadku rutynowych odejść administratora, gdzie oczekiwanie zła jest bardzo niewielkie, pełny cyrk nie jest wymagany; prawdopodobnie zmiana haseł na poziomie administracyjnym i ponowne wprowadzenie klucza do zewnętrznych hostów SSH jest prawdopodobnie wystarczająca. Ponownie, determinuje to postawa bezpieczeństwa zarządzania ryzykiem korporacyjnym.

Dla administratorów, którzy zostali rozwiązani z przyczyn lub zła pojawiły się po ich normalnym odejściu, cyrk staje się bardziej potrzebny. Najgorszym scenariuszem jest paranoiczny typ BOFH, który został powiadomiony, że jego stanowisko zostanie zwolnione za 2 tygodnie, ponieważ daje im to dużo czasu na przygotowanie się; w takich okolicznościach pomysł Kyle'a na hojny pakiet odpraw może złagodzić wszelkiego rodzaju problemy. Nawet paranoi mogą wybaczyć wiele grzechów po otrzymaniu czeku zawierającego 4 miesiące wypłaty. Ta kontrola prawdopodobnie będzie kosztować mniej niż koszt konsultantów ds. Bezpieczeństwa potrzebnych do wykrycia zła.

Ale ostatecznie sprowadza się to do kosztu ustalenia, czy zło zostało wyrządzone, w porównaniu z potencjalnym kosztem faktycznie wyrządzonego zła.

Powiedziałbym, że jest to równowaga między tym, ile masz obaw, a pieniędzmi, które jesteś gotów zapłacić.

Bardzo zaniepokojony:
jeśli jesteś bardzo zaniepokojony, możesz zatrudnić zewnętrznego konsultanta ds. Bezpieczeństwa, który wykona pełny skan wszystkiego zarówno z perspektywy zewnętrznej, jak i wewnętrznej. Jeśli ta osoba była szczególnie mądra, możesz mieć kłopoty, może mieć coś, co na jakiś czas będzie uśpione. Inną opcją jest po prostu odbudowanie wszystkiego. Może to zabrzmieć bardzo przesadnie, ale dobrze poznasz środowisko i wykonasz również projekt odzyskiwania po awarii.

Lekko zaniepokojony:
Jeśli jesteś tylko lekko zaniepokojony, możesz po prostu chcieć:

• Skanowanie portu z zewnątrz.
• Skanowanie w poszukiwaniu wirusów / spyware. Skanowanie rootkitów dla komputerów z systemem Linux.
• Przejrzyj konfigurację zapory ogniowej pod kątem wszystkiego, czego nie rozumiesz.
• Zmień wszystkie hasła i poszukaj nieznanych kont (upewnij się, że nie aktywowały one osoby, która nie jest już w firmie, aby mogły z niej korzystać itp.).
• Może to być również dobry moment na zastanowienie się nad instalacją systemu wykrywania włamań (IDS).
• Obserwuj dzienniki bardziej uważnie niż zwykle.

Na przyszłość:
Idąc naprzód, gdy administrator odejdzie, zorganizuj mu przyjemną imprezę, a potem, kiedy się upije, po prostu zaoferuj mu jazdę do domu - a następnie pozbądź się go w najbliższej rzece, na mokradłach lub jeziorze. Mówiąc poważniej, jest to jeden z dobrych powodów, aby dać administratorom hojne odprawy. Chcesz, aby czuli się dobrze, zostawiając jak najwięcej. Nawet jeśli nie powinni się czuć dobrze, kogo to obchodzi ?, ssij to i spraw, by byli szczęśliwi. Udawaj, że to twoja wina, a nie ich. Koszt podwyższenia kosztów ubezpieczenia od bezrobocia i odprawy nie jest porównywalny do szkód, jakie mogą wyrządzić. Chodzi o ścieżkę najmniejszego oporu i tworzenia jak najmniej dramatu.

Nie zapomnij o Teamviewer, LogmeIn itp. Wiem, że już o tym wspomniano, ale audyt oprogramowania (wiele aplikacji) każdego serwera / stacji roboczej nie zaszkodziłby, w tym skanowanie podsieci za pomocą nmap Skrypty NSE.

Po pierwsze - zrób kopię zapasową wszystkiego w pamięci zewnętrznej (np. Taśma lub dysk twardy, które odłączasz i wkładasz do pamięci). W ten sposób, jeśli wydarzy się coś złośliwego, możesz trochę odzyskać.

Następnie przeczesuj reguły zapory. Wszelkie podejrzane otwarte porty powinny być zamknięte. Jeśli są tylne drzwi, dobrze byłoby uniemożliwić dostęp do nich.

Konta użytkowników - poszukaj niezadowolonego użytkownika i upewnij się, że jego dostęp zostanie jak najszybciej usunięty. Jeśli są klucze SSH, pliki / etc / passwd lub wpisy LDAP, nawet pliki .htaccess, powinny zostać przeskanowane.

Na ważnych serwerach szukaj aplikacji i aktywnych portów nasłuchujących. Upewnij się, że uruchomione do nich procesy wydają się sensowne.

Zdecydowanie niezadowolony pracownik może zrobić wszystko - w końcu ma wiedzę o wszystkich wewnętrznych systemach. Ma się nadzieję, że mają uczciwość, aby nie podejmować negatywnych działań.

Dobrze zarządzana infrastruktura będzie dysponować narzędziami, monitorowaniem i kontrolami, aby w dużej mierze temu zapobiec. Obejmują one:

• Właściwa segmentacja sieci i zapora ogniowa
• IDS oparte na hoście
• IDS oparte na sieci
• Centralne rejestrowanie
• Kontrola dostępu
• Zmień kontrolę

Jeśli narzędzia te są prawidłowo zainstalowane, będziesz mieć ścieżkę audytu. W przeciwnym razie będziesz musiał wykonać pełny test penetracji .

Pierwszym krokiem byłby audyt całego dostępu i zmiana wszystkich haseł. Skoncentruj się na zewnętrznym dostępie i potencjalnych punktach wejścia - tutaj najlepiej spędzić czas. Jeśli zewnętrzny ślad nie jest uzasadniony, usuń go lub zmniejsz. Pozwoli ci to skoncentrować się na większej ilości szczegółów wewnętrznie. Należy również pamiętać o całym ruchu wychodzącym, ponieważ rozwiązania programowe mogą przenosić ograniczone dane na zewnątrz.

Ostatecznie bycie administratorem systemów i sieci pozwoli na pełny dostęp do większości, jeśli nie wszystkich rzeczy. Z tym wiąże się wysoki stopień odpowiedzialności. Zatrudnianie z takim poziomem odpowiedzialności nie powinno być podejmowane pochopnie i należy podjąć kroki w celu zminimalizowania ryzyka od samego początku. Jeśli zatrudniony jest profesjonalista, nawet pozostawiając na złych warunkach, nie podejmowałby działań, które byłyby nieprofesjonalne lub nielegalne.

Istnieje wiele szczegółowych postów na temat Awarii serwera, które obejmują odpowiednie kontrole systemu pod kątem bezpieczeństwa, a także to, co należy zrobić w przypadku czyjegoś wypowiedzenia. Ta sytuacja nie jest wyjątkowa.

Sprytny BOFH może wykonać jedną z następujących czynności:

1. Program okresowy, który inicjuje połączenie wychodzące netcat na dobrze znanym porcie w celu pobrania poleceń. Np. Port 80. Jeśli dobrze zrobiony ruch tam iz powrotem wyglądałby na ruch dla tego portu. Więc jeśli na porcie 80 miałby nagłówki HTTP, a ładunek byłby fragmentami osadzonymi w obrazach.

2. Aperiodyczne polecenie wyszukujące pliki w określonych miejscach. Miejsca mogą znajdować się na komputerach użytkowników, komputerach sieciowych, dodatkowych tabelach w bazach danych, tymczasowych katalogach zbiorów buforowych.

3. Programy, które sprawdzają, czy jedno lub więcej innych backdoorów nadal istnieje. Jeśli tak nie jest, wówczas instalowany jest wariant, a szczegóły wysyłane pocztą elektroniczną do BOFH

4. Ponieważ wiele sposobów tworzenia kopii zapasowych odbywa się teraz za pomocą dysku, zmodyfikuj kopie zapasowe tak, aby zawierały przynajmniej niektóre z twoich zestawów głównych.

Sposoby ochrony przed tego rodzaju rzeczami:

1. Kiedy pracownik klasy BOFH odejdzie, zainstaluj nowe pudełko w strefie DMZ. Pobiera kopię całego ruchu przechodzącego przez zaporę. Poszukaj anomalii w tym ruchu. To ostatnie nie jest trywialne, szczególnie jeśli BOFH jest dobry w naśladowaniu normalnych wzorców ruchu.

2. Ponownie wykonaj serwery, aby krytyczne pliki binarne były przechowywane na nośniku tylko do odczytu. Oznacza to, że jeśli chcesz zmodyfikować / bin / ps, musisz przejść do komputera, fizycznie przenieść przełącznik z RO na RW, zrestartować pojedynczego użytkownika, ponownie zainstalować tę partycję rw, zainstalować nową kopię ps, synchronizację, restart, przełącznik. System zrobiony w ten sposób ma przynajmniej niektóre zaufane programy i zaufane jądro do dalszej pracy.

Oczywiście, jeśli korzystasz z systemu Windows, nie możesz się doczekać.

3. Podziel na części swoją infrastrukturę. Nie jest to rozsądne w przypadku małych i średnich firm.

Sposoby zapobiegania tego rodzaju rzeczom.

1. Starannie sprawdzaj kandydatów.

2. Dowiedz się, czy ci ludzie są niezadowoleni, i rozwiąż problemy personalne z wyprzedzeniem.

3. Kiedy zwalniasz administratora z tego rodzaju mocami, osłabiaj ciasto:

   za. Jego wynagrodzenie lub ułamek jego wynagrodzenia trwa przez pewien czas lub do momentu poważnej zmiany w zachowaniu systemu, która nie jest wyjaśniona przez personel IT. Może to mieć charakter wykładniczy. Np. Dostaje pełne wynagrodzenie przez 6 miesięcy, 80% tego przez 6 miesięcy, 80% tego przez następne 6 miesięcy.

   b. Część jego wynagrodzenia ma postać opcji na akcje, które nie obowiązują przez okres od jednego do pięciu lat po jego odejściu. Te opcje nie są usuwane, kiedy wychodzi. Zachęca go do upewnienia się, że firma będzie dobrze funkcjonować za 5 lat.

Uderza mnie, że problem istnieje nawet przed odejściem administratora. Po prostu bardziej zauważa się problem w tym czasie.

-> Potrzebny jest proces do kontroli każdej zmiany, a częścią tego procesu jest to, że zmiany są wprowadzane tylko za jego pośrednictwem.

Pamiętaj, aby powiedzieć wszystkim w firmie po ich odejściu. To wyeliminuje wektor ataku socjotechniki. Jeśli firma jest duża, upewnij się, że ludzie, którzy muszą wiedzieć, wiedzą.

Jeśli administrator był również odpowiedzialny za napisanie kodu (strona firmowa itp.), Musisz również przeprowadzić audyt kodu.

Jest duża, którą wszyscy pominęli.

Pamiętaj, że nie są to tylko systemy.

• Czy sprzedawcy wiedzą, że dana osoba nie jest zatrudniona i nie należy jej zezwalać na dostęp (colo, telco)
• Czy są jakieś zewnętrzne hostowane usługi, które mogą mieć osobne hasła (wymiana, CRM)
• Czy i tak mogą mieć materiały szantażujące (w porządku, zaczyna się to nieco ...)

Jeśli nie jesteś naprawdę paranoikiem, moja sugestia po prostu uruchomi kilka narzędzi do skanowania TCP / IP (tcpview, wireshark itp.), Aby sprawdzić, czy istnieje podejrzana próba kontaktu ze światem zewnętrznym.

Zmień hasła administratora i upewnij się, że nie ma „dodatkowych” kont administratora, które nie muszą tam być.

Nie zapomnij również zmienić haseł dostępu bezprzewodowego i sprawdzić ustawienia oprogramowania zabezpieczającego (w szczególności AV i Firewall)

Sprawdź dzienniki na swoich serwerach (i komputerach, na których bezpośrednio pracują). Szukaj nie tylko ich konta, ale także kont, które nie są znanymi administratorami. Poszukaj dziur w swoich logach. Jeśli dziennik zdarzeń został niedawno wyczyszczony na serwerze, jest podejrzany.

Sprawdź datę modyfikacji plików na swoich serwerach internetowych. Uruchom szybki skrypt, aby wyświetlić listę wszystkich ostatnio zmienionych plików i przejrzyj je.

Sprawdź datę ostatniej aktualizacji wszystkich zasad grupy i obiektów użytkowników w AD.

Sprawdź, czy wszystkie kopie zapasowe działają, a istniejące kopie zapasowe nadal istnieją.

Sprawdź serwery, na których korzystasz z usług kopiowania woluminów w tle, czy brakuje wcześniejszej historii.

Widzę już wiele dobrych rzeczy na liście i chciałem tylko dodać te inne, które można szybko sprawdzić. Warto byłoby dokonać pełnej oceny wszystkiego. Ale zacznij od miejsc z najnowszymi zmianami. Niektóre z tych rzeczy można szybko sprawdzić i podnieść wczesne czerwone flagi, aby ci pomóc.

Zasadniczo powiedziałbym, że jeśli masz kompetentną BOFH, jesteś skazany ... istnieje wiele sposobów instalowania bomb, które byłyby niezauważone. A jeśli twoja firma jest używana do wyrzucania „manu-wojskowych” tych, którzy zostali zwolnieni, upewnij się, że bomba zostanie dobrze osadzona przed zwolnieniem !!!

Najlepszym sposobem jest zminimalizowanie ryzyka gniewu administratora ... Unikaj „zwolnień z cięć kosztów” (jeśli jest kompetentnym i okrutnym BOFH, straty, które możesz ponieść, będą prawdopodobnie znacznie większe niż to, co otrzymasz zwolnienie) ... Jeśli popełni jakiś niedopuszczalny błąd, lepiej, aby naprawił go (nieopłacony) jako alternatywę dla zwolnienia ... Będzie bardziej ostrożny następnym razem, aby nie powtórzyć błędu (co będzie wzrostem w jego wartości) ... Ale pamiętaj, aby trafić w dobry cel (powszechne jest, że niekompetentni ludzie z dobrą charyzmą odrzucają swoją winę wobec kompetentnej, ale mniej towarzyskiej).

A jeśli masz do czynienia z prawdziwym BOFH w najgorszym sensie (i że takie zachowanie jest przyczyną zwolnienia), lepiej przygotuj się na ponowną instalację od zera całego systemu, z którym on miał kontakt (co prawdopodobnie będzie oznaczać każdy komputer).

Nie zapominaj, że zmiana jednego bitu może spowodować spustoszenie w całym systemie ... (bit setuid, Jump if Carry to Jump if No Carry, ...) i że nawet narzędzia kompilacyjne mogły zostać naruszone.

Powodzenia, jeśli naprawdę coś wie i wszystko wcześniej ustawia. Nawet dimwit może zadzwonić / wysłać e-mailem / faksem telco z rozłączeniem lub nawet poprosić ich o wykonanie pełnych wzorców testowych na obwodach w ciągu dnia.

Poważnie, okazanie odrobiny miłości i kilku wielkich odlotów naprawdę zmniejsza ryzyko.

O tak, na wypadek, gdyby zadzwonili, aby „dostać hasło lub coś”, przypomnij im o stawce 1099 i minimalnej godzinie 1 i 100 kosztach podróży na połączenie, niezależnie od tego, czy musisz być gdziekolwiek ...

Hej, to samo co mój bagaż! 1,2,3,4!

Proponuję zacząć od obwodu. Sprawdź konfiguracje zapory, aby upewnić się, że nie masz nieoczekiwanych punktów wejścia do sieci. Upewnij się, że sieć jest fizycznie zabezpieczona przed ponownym wejściem i uzyskaniem dostępu do dowolnych komputerów.

Sprawdź, czy masz w pełni sprawne i przywracalne kopie zapasowe. Dobre kopie zapasowe zapobiegną utracie danych, jeśli zrobi coś destrukcyjnego.

Sprawdzanie wszelkich usług, które są dozwolone przez obwód i upewnij się, że odmówiono mu dostępu. Upewnij się, że systemy te mają dobre działające mechanizmy rejestrowania.

Usuń wszystko, zacznij od nowa;)

Spal to ... wypal to wszystko.

To jedyny sposób, aby się upewnić.

Następnie wypal wszystkie swoje zewnętrzne interesy, rejestratorów domen, dostawców płatności kartą kredytową.

Z drugiej strony, być może łatwiej jest poprosić któregokolwiek z kolegów z Bikie, aby przekonał osobę, że zdrowiej jest dla nich nie przeszkadzać.

Przypuszczalnie kompetentny administrator gdzieś po drodze dokonał tak zwanej kopii zapasowej podstawowej konfiguracji systemu. Można również bezpiecznie założyć, że kopie zapasowe są wykonywane z pewnym rozsądnym poziomem częstotliwości, co pozwala na przywrócenie znanej bezpiecznej kopii zapasowej.

Biorąc pod uwagę, że niektóre rzeczy się zmieniają, dobrym pomysłem jest uruchomienie wirtualizacji z kopii zapasowej, jeśli to możliwe, dopóki nie upewnisz się, że instalacja podstawowa nie zostanie naruszona.

Zakładając, że najgorsze stanie się oczywiste, scalisz to, co jesteś w stanie, a resztę wprowadzisz ręcznie.

Jestem zszokowany, nikt wcześniej nie wspomniał o bezpiecznej kopii zapasowej. Czy to oznacza, że ​​powinienem przesłać swoje CV do działów HR?

Spróbuj przyjąć jego punkt widzenia.

Znasz swój system i jego działanie. Więc możesz spróbować wyobrazić sobie, co można wymyślić, aby połączyć się z zewnątrz, nawet jeśli nie jesteś już administratorem ...

W zależności od tego, jak wygląda infrastruktura sieci i jak to wszystko działa, jesteś najlepszą osobą, która może wiedzieć, co robić i gdzie to może być zlokalizowane.

Ale kiedy wydajesz się mówić z eksperymentowanego bofha , musisz szukać wszędzie blisko ...

Śledzenie sieci

Ponieważ głównym celem jest podjęcie zdalną kontrolę nad systemem, po drugiej stronie połączenia internetowego, można oglądać (nawet zastąpić, bo to może być uszkodzony zbyt !!) zaporę i spróbować zidentyfikować każdego aktywnego połączenia.

Wymiana zapory nie zapewni pełnej ochrony, ale zapewni, że nic nie pozostanie ukryte. Jeśli więc patrzysz na pakiet przekazywany przez zaporę, musisz zobaczyć wszystko, w tym niechciany ruch.

Możesz użyć tcpdumpdo śledzenia wszystkiego (jak robi to amerykański paranoik;) i przeglądać plik zrzutu za pomocą zaawansowanych narzędzi, takich jak wireshark. Poświęć trochę czasu, aby zobaczyć, co to polecenie (potrzebujesz 100 GB wolnego miejsca na dysku):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Nie ufaj wszystkim

Nawet jeśli coś znajdziesz, nie będziesz mieć pewności, że znaleziono całe złe rzeczy!

Wreszcie, nie będziesz naprawdę cicho, dopóki nie zostanie ponownie zainstalowany wszystko (z zaufanych źródeł!)

Jeśli nie możesz ponownie wykonać serwera, kolejną najlepszą rzeczą jest prawdopodobnie zablokowanie zapór ogniowych tak bardzo, jak to możliwe. Śledź każde możliwe połączenie przychodzące i upewnij się, że zostało ono zredukowane do absolutnego minimum.

Zmień wszystkie hasła.

Wymień wszystkie klucze ssh.

Generalnie jest to dość trudne ...

ale jeśli jest to strona internetowa, spójrz na kod tuż za przyciskiem Zaloguj się.

Znaleźliśmy raz wpis „if username = 'admin”…

Zasadniczo spraw, aby wiedza poprzednich informatyków była bezwartościowa.

Zmień wszystko, co możesz zmienić, bez wpływu na infrastrukturę IT.

Zmiana lub dywersyfikacja dostawców to kolejna dobra praktyka.