Bagaimana Anda mencari backdoors dari orang IT sebelumnya?


358

Kita semua tahu itu terjadi. Seorang pria tua IT yang pahit meninggalkan pintu belakang ke dalam sistem dan jaringan untuk bersenang-senang dengan orang-orang baru dan menunjukkan kepada perusahaan betapa buruknya hal-hal tanpa dirinya.

Saya tidak pernah mengalami ini secara pribadi. Yang paling saya alami adalah seseorang yang memecahkan dan mencuri barang-barang tepat sebelum pergi. Saya yakin ini terjadi.

Jadi, ketika mengambil alih jaringan yang tidak bisa dipercaya, langkah apa yang harus diambil untuk memastikan semuanya aman dan terjamin?


8
+1, saya suka pertanyaan ini. Ini adalah hal yang paling tidak saya sukai ketika berurusan dengan klien baru, terutama jika orang terakhir pergi dengan hubungan yang buruk.
DanBig

95
Sebagian besar tempat yang saya tinggalkan, tidak berada di sana mengatakan "Jangan lakukan itu" sudah cukup untuk menjatuhkan jaringan. Saya tidak perlu meninggalkan pintu belakang.
Paul Tomblin

25
@ Paul, itu menunjukkan Anda tidak mendokumentasikan dengan baik. Mari berharap orang baru melakukan bagian pekerjaan mereka dengan benar.
John Gardeniers

71
@ John, pengguna dan rekan kerja Anda membaca dokumentasi? Di mana saya bisa mendapatkan itu?
Paul Tomblin

18
@ Paul, pengguna - tidak, mengapa mereka harus? Rekan kerja (anggap Anda maksud orang TI) - ya. Membaca dokumen harus menjadi langkah pertama dalam memulai pekerjaan baru.
John Gardeniers

Jawaban:


332

Ini sangat, sangat, sangat sulit. Itu membutuhkan audit yang sangat lengkap. Jika Anda sangat yakin orang tua itu meninggalkan sesuatu yang akan booming, atau mengharuskan mereka mempekerjakan kembali karena merekalah satu-satunya yang dapat memadamkan api, maka inilah saatnya untuk menganggap Anda telah di-root oleh seorang pesta bermusuhan. Perlakukan itu seperti sekelompok peretas masuk dan mencuri barang-barang, dan Anda harus membersihkan setelah kekacauan mereka. Karena memang begitu.

  • Audit setiap akun pada setiap sistem untuk memastikannya terkait dengan entitas tertentu.
    • Akun yang tampaknya terkait dengan sistem tetapi tidak ada yang dapat menjelaskan tidak dapat dipercaya.
    • Akun yang tidak terkait dengan apa pun perlu dibersihkan (ini harus tetap dilakukan, tetapi ini sangat penting dalam kasus ini)
  • Ubah sembarang dan semua kata sandi yang mungkin telah mereka hubungi.
    • Ini bisa menjadi masalah nyata bagi akun utilitas karena kata sandi tersebut cenderung sulit dikodekan.
    • Jika mereka adalah tipe helpdesk yang menanggapi panggilan pengguna akhir, anggap mereka memiliki kata sandi siapa pun yang mereka bantu.
    • Jika mereka memiliki Admin Perusahaan atau Admin Domain ke Direktori Aktif, anggap mereka mengambil salinan kata sandi hash sebelum mereka pergi. Ini dapat dipecahkan dengan sangat cepat sekarang sehingga perubahan kata sandi di seluruh perusahaan perlu dipaksakan dalam beberapa hari.
    • Jika mereka memiliki akses root ke kotak * nix apa saja asumsikan mereka pergi dengan hash kata sandi.
    • Tinjau semua penggunaan kunci SSH kunci publik untuk memastikan kunci mereka dibersihkan, dan audit jika ada kunci pribadi yang terbuka saat Anda menggunakannya.
    • Jika mereka memiliki akses ke perangkat telekomunikasi, ubah kata sandi router / switch / gateway / PBX. Ini bisa menjadi rasa sakit yang sangat kerajaan karena ini dapat melibatkan pemadaman yang signifikan.
  • Audit sepenuhnya pengaturan keamanan perimeter Anda.
    • Pastikan semua lubang firewall melacak perangkat dan port resmi yang dikenal.
    • Pastikan semua metode akses jarak jauh (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, apa pun) tidak memiliki otentikasi tambahan yang dilekatkan, dan periksa sepenuhnya untuk metode akses yang tidak sah.
    • Pastikan tautan WAN jarak jauh dilacak ke orang yang sepenuhnya dipekerjakan, dan verifikasi. Terutama koneksi nirkabel. Anda tidak ingin mereka pergi dengan modem seluler atau ponsel pintar berbayar perusahaan. Hubungi semua pengguna tersebut untuk memastikan mereka memiliki perangkat yang tepat.
  • Mengaudit sepenuhnya pengaturan akses istimewa istimewa. Ini adalah hal-hal seperti akses SSH / VNC / RDP / DRAC / iLO / IMPI ke server yang tidak dimiliki pengguna umum, atau akses ke sistem sensitif seperti penggajian.
  • Bekerja dengan semua vendor eksternal dan penyedia layanan untuk memastikan kontak sudah benar.
    • Pastikan mereka dihilangkan dari semua kontak dan daftar layanan. Ini harus tetap dilakukan setelah keberangkatan, tetapi sangat penting sekarang.
    • Validasikan semua kontak yang sah dan memiliki informasi kontak yang benar, ini untuk menemukan hantu yang dapat ditiru.
  • Mulai berburu bom logika.
    • Periksa semua otomatisasi (penjadwal tugas, tugas cron, daftar info UPS, atau apa pun yang berjalan sesuai jadwal atau dipicu oleh peristiwa) untuk tanda-tanda kejahatan. Dengan "Semua" Maksudku semua. Periksa setiap crontab tunggal. Periksa setiap tindakan otomatis dalam sistem pemantauan Anda, termasuk probe itu sendiri. Periksa setiap Penjadwal Tugas Windows; bahkan workstation. Kecuali jika Anda bekerja untuk pemerintah di daerah yang sangat sensitif Anda tidak akan mampu "semua", lakukan sebanyak yang Anda bisa.
    • Validasikan binari sistem utama pada setiap server untuk memastikannya sebagaimana mestinya. Ini rumit, terutama pada Windows, dan hampir tidak mungkin dilakukan secara surut pada sistem satu kali.
    • Mulai berburu rootkit. Menurut definisi mereka sulit ditemukan, tetapi ada scanner untuk ini.

Tidak mudah sama sekali, bahkan tidak jarak dekat. Membenarkan pengeluaran semua itu bisa sangat sulit tanpa bukti yang pasti bahwa admin sekarang-mantan itu sebenarnya jahat. Keseluruhan hal di atas bahkan tidak dapat dilakukan dengan aset perusahaan, yang akan memerlukan menyewa konsultan keamanan untuk melakukan beberapa pekerjaan ini.

Jika kejahatan aktual terdeteksi, terutama jika kejahatan ada dalam beberapa jenis perangkat lunak, profesional keamanan terlatih adalah yang terbaik untuk menentukan luasnya masalah. Ini juga merupakan titik ketika kasus pidana dapat mulai dibangun, dan Anda benar - benar ingin orang-orang yang terlatih dalam menangani bukti melakukan analisis ini.


Tapi, sungguh, seberapa jauh Anda harus melangkah? Di sinilah manajemen risiko berperan. Secara sederhana, ini adalah metode menyeimbangkan risiko yang diharapkan terhadap kerugian. Sysadmin melakukan hal ini ketika kita memutuskan yang off-site lokasi kami ingin menempatkan backup; brankas bank vs pusat data luar daerah. Mencari tahu berapa banyak dari daftar ini perlu diikuti adalah latihan dalam manajemen risiko.

Dalam hal ini penilaian akan dimulai dengan beberapa hal:

  • Tingkat keterampilan yang diharapkan dari yang meninggal
  • Akses yang berangkat
  • Harapan bahwa kejahatan telah dilakukan
  • Potensi kerusakan kejahatan apa pun
  • Persyaratan peraturan untuk melaporkan kejahatan yang dilakukan vs yang ditemukan sebelumnya adalah kejahatan. Umumnya Anda harus melaporkan yang pertama, tetapi bukan yang belakangan.

Keputusan seberapa jauh untuk menyelam di lubang kelinci di atas akan tergantung pada jawaban atas pertanyaan-pertanyaan ini. Untuk keberangkatan admin rutin di mana harapan kejahatan sangat sedikit, sirkus penuh tidak diperlukan; mengubah kata sandi tingkat admin dan mengetik ulang semua host SSH yang menghadapi eksternal mungkin cukup. Sekali lagi, postur keamanan manajemen risiko perusahaan menentukan hal ini.

Bagi admin yang diberhentikan karena sebab, atau kejahatan muncul setelah kepergian mereka yang normal, sirkus menjadi lebih dibutuhkan. Skenario kasus terburuk adalah tipe BOFH paranoid yang telah diberitahu bahwa posisi mereka akan dibuat berlebihan dalam 2 minggu, karena itu memberi mereka banyak waktu untuk bersiap-siap; dalam situasi seperti ini , ide Kyle tentang paket pesangon yang murah hati dapat memitigasi semua jenis masalah. Bahkan paranoid dapat mengampuni banyak dosa setelah cek yang berisi gaji 4 bulan tiba. Cek itu mungkin lebih murah daripada biaya konsultan keamanan yang diperlukan untuk menemukan kejahatan mereka.

Tetapi pada akhirnya, itu tergantung pada biaya untuk menentukan apakah kejahatan dilakukan versus potensi biaya kejahatan yang sebenarnya dilakukan.


22
+1 - Keadaan canggih sehubungan dengan audit sistem biner cukup buruk hari ini. Alat forensik komputer dapat membantu Anda memverifikasi tanda tangan pada binari, tetapi dengan semakin banyaknya versi biner yang berbeda (terutama pada Windows, apa yang terjadi dengan semua pembaruan yang terjadi setiap bulan) cukup sulit untuk membuat skenario meyakinkan di mana Anda dapat mendekati 100% verifikasi biner. (Saya akan +10 Anda jika saya bisa, karena Anda telah menyimpulkan seluruh masalah dengan cukup baik. Ini masalah yang sulit, terutama jika tidak ada kompartementalisasi dan pemisahan tugas pekerjaan.)
Evan Anderson

2
+++ Re: mengubah kata sandi akun layanan. Ini harus didokumentasikan secara menyeluruh, jadi proses ini sangat penting jika Anda diharapkan melakukan pekerjaan Anda.
Kara Marfia

2
@ Jo H.: Jangan lupa memverifikasi isi cadangan tersebut secara independen dari infrastruktur produksi. Perangkat lunak cadangan dapat di-trojanized. (Salah satu Pelanggan saya memiliki pihak ketiga w / instalasi independen aplikasi LOb mereka yang dikontrak untuk memulihkan cadangan, memuatnya ke dalam aplikasi, dan memverifikasi bahwa laporan keuangan yang dihasilkan dari cadangan cocok dengan yang dihasilkan oleh sistem produksi. Pretty liar ...)
Evan Anderson

46
Jawaban yang bagus Juga, jangan lupa untuk menghapus karyawan yang pergi sebagai kontak resmi untuk penyedia layanan dan vendor. Pendaftar domain. Penyedia layanan internet. Perusahaan telekomunikasi. Pastikan semua pihak eksternal ini mendapatkan kabar bahwa karyawan tersebut tidak lagi berwenang untuk melakukan perubahan apa pun atau mendiskusikan akun perusahaan.
Mox

2
"Keseluruhan hal di atas bahkan mungkin tidak dapat dilakukan dengan aset perusahaan, yang akan memerlukan menyewa konsultan keamanan untuk melakukan beberapa pekerjaan ini." - tentu saja mungkin paparan ini yang mengarah pada kompromi. Level audit ini membutuhkan akses sistem level sangat rendah - dan oleh individu yang tahu cara menyembunyikan sesuatu.
Perkasa

100

Saya akan mengatakan itu adalah keseimbangan dari berapa banyak kekhawatiran yang Anda miliki vs uang yang Anda bayarkan.

Sangat prihatin:
Jika Anda sangat prihatin maka Anda mungkin ingin menyewa konsultan keamanan luar untuk melakukan pemindaian lengkap segala sesuatu baik dari perspektif luar maupun internal. Jika orang ini sangat pintar, Anda bisa berada dalam masalah, mereka mungkin memiliki sesuatu yang tidak aktif untuk sementara waktu. Pilihan lainnya adalah dengan membangun kembali semuanya. Ini mungkin terdengar sangat berlebihan tetapi Anda akan mempelajari lingkungan dengan baik dan Anda membuat proyek pemulihan bencana juga.

Ringan Peduli:
Jika Anda hanya sedikit khawatir Anda mungkin hanya ingin melakukan:

  • Pindaian port dari luar.
  • Pemindaian Virus / Spyware. Rootkit Scan untuk Mesin Linux.
  • Lihat konfigurasi firewall untuk hal-hal yang tidak Anda mengerti.
  • Ubah semua kata sandi dan cari akun yang tidak dikenal (Pastikan mereka tidak mengaktifkan seseorang yang tidak lagi bersama perusahaan sehingga mereka dapat menggunakannya dll).
  • Ini mungkin juga saat yang tepat untuk melihat ke dalam menginstal Intrusion Detection System (IDS).
  • Perhatikan log lebih dekat dari biasanya.

Untuk Masa Depan:
Maju ke depan ketika admin pergi memberinya pesta yang menyenangkan dan kemudian ketika mabuk hanya menawarinya pulang - lalu buang dia di sungai, rawa, atau danau terdekat. Lebih serius, ini adalah salah satu alasan bagus untuk memberikan admin pesangon yang murah hati. Anda ingin mereka merasa baik-baik saja tentang pergi sebanyak mungkin. Bahkan jika mereka seharusnya tidak merasa baik, siapa yang peduli ?, hisaplah dan buat mereka bahagia. Berpura-puralah itu salahmu dan bukan kesalahan mereka. Biaya kenaikan biaya untuk asuransi pengangguran dan paket pesangon tidak sebanding dengan kerusakan yang bisa mereka lakukan. Ini semua tentang jalan perlawanan paling sedikit dan menciptakan drama sesedikit mungkin.


1
Jawaban yang tidak termasuk pembunuhan mungkin lebih disukai :-)
Jason Berg

4
+1 untuk saran BOFH.
jscott

5
@Kyle: Itu seharusnya menjadi rahasia kecil kita ...
GregD

4
Switch orang mati, Kyle. Kami menempatkan mereka di sana kalau-kalau kami pergi untuk sementara waktu :) Dengan "kami", maksud saya, eh, mereka?
Bill Weiss

12
+1 - Ini adalah jawaban yang praktis, dan saya suka diskusi berdasarkan analisis risiko / biaya (karena memang seperti itu). Jawaban Sysadmin1138 sedikit lebih komprehensif: "karet memenuhi jalan", tetapi tidak selalu masuk ke dalam analisis risiko / biaya dan fakta bahwa, sebagian besar waktu, Anda harus mengesampingkan beberapa asumsi sebagai "terlalu" terpencil". (Itu mungkin keputusan yang salah, tetapi tidak ada yang punya waktu / uang tanpa batas.)
Evan Anderson

20

Jangan lupa orang-orang seperti Teamviewer, LogmeIn, dll ... Saya tahu ini sudah disebutkan, tetapi audit perangkat lunak (banyak aplikasi di luar sana) dari setiap server / workstation tidak ada ruginya, termasuk pemindaian subnet dengan nmap's Skrip NSE.


18

Hal pertama yang pertama - dapatkan cadangan semua yang ada di penyimpanan di luar lokasi (mis. Kaset, atau HDD yang Anda lepaskan dan simpan di penyimpanan). Dengan begitu, jika sesuatu yang berbahaya terjadi, Anda mungkin dapat sedikit pulih.

Selanjutnya, sisir melalui aturan firewall Anda. Setiap port terbuka yang mencurigakan harus ditutup. Jika ada pintu belakang maka mencegah akses ke sana akan menjadi hal yang baik.

Akun pengguna - cari pengguna yang tidak puas dan pastikan akses mereka dihapus sesegera mungkin. Jika ada kunci SSH, atau / etc / passwd file, atau entri LDAP, bahkan file .htaccess, semua harus dipindai.

Di server penting Anda, cari aplikasi dan port mendengarkan aktif. Pastikan proses yang berjalan terlampir padanya tampak masuk akal.

Pada akhirnya karyawan yang tidak puas dapat melakukan apa saja - setelah semua, mereka memiliki pengetahuan tentang semua sistem internal. Seseorang berharap mereka memiliki integritas untuk tidak mengambil tindakan negatif.


1
backup juga mungkin penting jika sesuatu terjadi, dan Anda memutuskan untuk pergi dengan jalur penuntutan, jadi Anda mungkin ingin mencari tahu apa aturan penanganan bukti, dan pastikan Anda mengikuti mereka, untuk berjaga-jaga.
Joe H.

3
Tapi jangan lupa bahwa apa yang baru saja Anda cadangkan mungkin termasuk aplikasi yang di-root / konfigurasi / data dll.
Shannon Nelson

Jika Anda memiliki cadangan dari sistem yang di-root, maka Anda memiliki bukti.
XTL

17

Infrastruktur yang dikelola dengan baik akan memiliki alat, pemantauan, dan kontrol untuk mencegah hal ini. Ini termasuk:

Jika alat ini berada di tempatnya dengan benar, Anda akan memiliki jejak audit. Jika tidak, Anda harus melakukan tes penetrasi penuh .

Langkah pertama adalah mengaudit semua akses dan mengubah semua kata sandi. Fokus pada akses eksternal dan titik masuk potensial - di sinilah waktu Anda paling baik dihabiskan. Jika jejak eksternal tidak dibenarkan, hilangkan atau perkecil. Ini akan memberi Anda waktu untuk fokus pada lebih banyak detail secara internal. Waspadai semua lalu lintas keluar juga, karena solusi terprogram dapat mentransfer data terbatas secara eksternal.

Pada akhirnya, menjadi administrator sistem dan jaringan akan memungkinkan akses penuh ke sebagian besar atau semua hal. Dengan ini, muncul tingkat tanggung jawab yang tinggi. Mempekerjakan dengan tingkat tanggung jawab ini tidak boleh dianggap enteng dan langkah-langkah harus diambil untuk meminimalkan risiko sejak awal. Jika seorang profesional dipekerjakan, bahkan meninggalkan dengan syarat yang buruk, mereka tidak akan mengambil tindakan yang tidak profesional atau ilegal.

Ada banyak posting terperinci tentang Server Fault yang mencakup audit sistem yang tepat untuk keamanan serta apa yang harus dilakukan jika seseorang diberhentikan. Situasi ini tidak unik dari situ.


16

BOFH yang cerdik dapat melakukan salah satu dari yang berikut:

  1. Program periodik yang memulai koneksi keluar netcat pada port yang terkenal untuk menerima perintah. Misalnya Port 80. Jika dilakukan dengan baik lalu lintas bolak-balik akan memiliki tampilan lalu lintas untuk port itu. Jadi jika pada port 80, itu akan memiliki header HTTP, dan payload akan menjadi potongan yang tertanam dalam gambar.

  2. Perintah aperiodik yang terlihat di tempat-tempat tertentu untuk dieksekusi file. Tempat bisa di komputer pengguna, komputer jaringan, tabel tambahan dalam database, direktori file spool sementara.

  3. Program yang memeriksa untuk melihat apakah satu atau lebih dari backdoor lainnya masih ada. Jika tidak, maka varian di dalamnya diinstal, dan detail dikirim melalui email ke BOFH

  4. Karena banyak cara cadangan sekarang dilakukan dengan disk, modifikasi cadangan untuk mengandung setidaknya beberapa kit root Anda.

Cara untuk melindungi diri Anda dari hal semacam ini:

  1. Ketika seorang karyawan kelas BOFH pergi, instal kotak baru di DMZ. Ia mendapat salinan semua lalu lintas yang melewati firewall. Cari anomali dalam lalu lintas ini. Yang terakhir ini tidak sepele, terutama jika BOFH baik dalam meniru pola lalu lintas normal.

  2. Ulangi server Anda sehingga binari kritis disimpan di media hanya baca. Artinya, jika Anda ingin memodifikasi / bin / ps, Anda harus pergi ke mesin, secara fisik memindahkan switch dari RO ke RW, reboot satu pengguna, remount partisi itu, instal salinan ps baru Anda, sinkronkan, reboot, beralih sakelar. Sistem yang dilakukan dengan cara ini setidaknya memiliki beberapa program tepercaya dan kernel tepercaya untuk melakukan pekerjaan lebih lanjut.

Tentu saja jika Anda menggunakan windows, Anda disemprot.

  1. Buat kompartemen infrastruktur Anda. Tidak masuk akal dengan perusahaan kecil hingga menengah.

Cara untuk mencegah hal semacam ini.

  1. Pelamar dokter hewan dengan hati-hati.

  2. Cari tahu apakah orang-orang ini tidak puas dan perbaiki masalah personel sebelumnya.

  3. Saat Anda mengabaikan admin dengan kekuatan seperti ini mempermanis pai:

    Sebuah. Gajinya atau sebagian dari gajinya berlanjut selama periode waktu tertentu atau sampai ada perubahan besar dalam perilaku sistem yang tidak dijelaskan oleh staf TI. Ini bisa pada peluruhan eksponensial. Misalnya dia mendapat bayaran penuh selama 6 bulan, 80% dari itu selama 6 bulan, 80 persen dari itu untuk 6 bulan ke depan.

    b. Sebagian dari gajinya adalah dalam bentuk opsi saham yang tidak berlaku selama satu sampai lima tahun setelah dia pergi. Opsi-opsi ini tidak dihapus ketika dia pergi. Dia memiliki insentif untuk memastikan bahwa perusahaan akan berjalan baik dalam 5 tahun.


1
WTF adalah BOFH ??
Chloe

Chloe, BOFH adalah singkatan dari Bajingan Operator dari Neraka, ikon sosiadmin meglomaniacal meglomaniacal ikonik saranad bahwa orang-orang IT yang menghabiskan terlalu banyak waktu mengambil mouse seseorang dari lantai mimpi menjadi. Ada serangkaian cerita yang awalnya diajukan ke alt.sysadmin.recovery di bofh.ntk.net/Bastard.html en.wikipedia.org/wiki/Bastard_Operator_From_Hell
Stephanie

1
Semakin tinggi ServerFault Anda, semakin tinggi peluang Anda untuk menjadi seorang BOFH :-)
dunxd

"Tentu saja jika kamu menggunakan windows, kamu disemprot." Saya ingin ini di dinding saya.
programmer5000

13

Menurut saya, masalahnya ada bahkan sebelum admin pergi. Hanya saja orang memperhatikan masalah lebih pada waktu itu.

-> Satu membutuhkan proses untuk mengaudit setiap perubahan, dan bagian dari proses adalah bahwa perubahan hanya diterapkan melalui itu.


5
Saya ingin tahu tentang bagaimana Anda menegakkan proses semacam ini?
Tn. Shiny dan Baru 安 宇

Ini cukup sulit untuk dilakukan di sebuah perusahaan kecil (yaitu 1-2 orang tipe Admin Sys)
Bip bip

Ini menyakitkan untuk ditegakkan, tetapi bisa ditegakkan. Salah satu aturan dasar yang utama adalah bahwa tidak ada orang yang hanya masuk ke kotak dan mengaturnya, bahkan melalui sudo. Perubahan harus melalui alat manajemen konfigurasi, atau harus terjadi dalam konteks peristiwa tipe panggilan. Setiap perubahan rutin tunggal ke sistem harus melalui boneka, cfengine, chef, atau alat serupa, dan seluruh badan kerja untuk sysadmin Anda harus ada sebagai repositori skrip yang dikendalikan versi.
Stephanie

12

Pastikan untuk memberi tahu semua orang di perusahaan begitu mereka pergi. Ini akan menghilangkan vektor serangan rekayasa sosial. Jika perusahaan itu besar, maka pastikan orang-orang yang perlu tahu, tahu.

Jika admin juga bertanggung jawab atas kode yang ditulis (situs web perusahaan, dll) maka Anda perlu melakukan audit kode juga.


12

Ada yang besar yang ditinggalkan semua orang.

Ingat bahwa tidak hanya sistem.

  • Apakah vendor tahu orang itu tidak ada di staf, dan tidak boleh diizinkan mengakses (colo, telco)
  • Apakah ada layanan eksternal yang dihosting yang mungkin memiliki kata sandi terpisah (pertukaran, crm)
  • Mungkinkah mereka memiliki materi pemerasan (baiklah ini mulai mencapai sedikit ...)

9

Kecuali Anda benar-benar paranoid, maka saran saya hanya akan menjalankan beberapa alat pemindaian TCP / IP (tcpview, wireshark, dll.) Untuk melihat apakah ada sesuatu yang mencurigakan yang mencoba menghubungi dunia luar.

Ubah kata sandi administrator dan pastikan tidak ada akun administrator 'tambahan' yang tidak perlu ada di sana.

Juga, jangan lupa untuk mengubah kata sandi akses nirkabel dan memeriksa pengaturan perangkat lunak keamanan Anda (khususnya AV dan Firewall)


+1 untuk mengubah kata sandi administrator
PP.

5
Ok tapi waspadalah terhadap mendengarkan secara pasif untuk hal-hal aneh karena Anda bisa berkedip ketika TRUNCATE TABLE customerdijalankan: P
Khai

Jika ada rootkit, itu bisa mendengarkan perubahan passwd.
XTL

9

Periksa log di server Anda (dan komputer mereka langsung bekerja di). Cari tidak hanya untuk akun mereka, tetapi juga akun yang bukan administrator yang dikenal. Cari lubang di log Anda. Jika log peristiwa dihapus pada server baru-baru ini, itu dicurigai.

Periksa tanggal yang dimodifikasi pada file di server web Anda. Jalankan skrip cepat untuk mendaftar semua file yang baru saja diubah dan tinjau.

Periksa tanggal terakhir yang diperbarui pada semua kebijakan grup dan objek pengguna Anda dalam AD.

Pastikan semua cadangan Anda berfungsi dan cadangan yang ada masih ada.

Periksa server tempat Anda menjalankan layanan Volume Shadow Copy agar riwayat sebelumnya tidak ada.

Saya sudah melihat banyak hal baik terdaftar dan hanya ingin menambahkan hal-hal lain yang dapat Anda periksa dengan cepat. Akan sangat berharga untuk melakukan review lengkap dari semuanya. Tetapi mulailah dengan tempat-tempat dengan perubahan terbaru. Beberapa dari hal-hal ini dapat dengan cepat diperiksa dan dapat menaikkan beberapa bendera merah awal untuk membantu Anda.


7

Pada dasarnya, saya akan mengatakan bahwa jika Anda memiliki BOFH yang kompeten, Anda akan dikutuk ... ada banyak cara memasang bom yang tidak diperhatikan. Dan jika perusahaan Anda digunakan untuk mengeluarkan "manu-militer" orang-orang yang dipecat, pastikan bahwa bom itu akan ditanam dengan baik dari pada PHK !!!

Cara terbaik adalah untuk meminimalkan risiko memiliki admin yang marah ... Hindari "PHK untuk memotong biaya" (jika ia adalah BOFH yang kompeten dan ganas, kerugian yang mungkin Anda tanggung mungkin akan jauh lebih besar daripada apa yang akan Anda dapatkan dari PHK) ... Jika dia melakukan kesalahan yang tidak dapat diterima, lebih baik minta dia memperbaikinya (tidak dibayar) sebagai alternatif untuk PHK ... Dia akan lebih bijaksana lain kali untuk tidak mengulangi kesalahan (yang akan menjadi peningkatan dalam nilainya) ... Tetapi pastikan untuk mencapai target yang baik (itu umum bahwa orang yang tidak kompeten dengan karisma yang baik menolak kesalahan mereka sendiri dengan yang kompeten tetapi kurang sosial).

Dan jika Anda menghadapi BOFH sejati dalam arti terburuk (dan bahwa perilaku itu adalah alasan PHK), Anda sebaiknya bersiap untuk menginstal ulang dari awal semua sistem yang telah bersentuhan dengannya (yang mungkin berarti setiap komputer tunggal).

Jangan lupa bahwa perubahan bit tunggal dapat membuat seluruh sistem menjadi kacau ... (setuid bit, Jump if Carry to Jump jika No Carry, ...) dan bahkan alat kompilasi mungkin telah dikompromikan.


7

Semoga beruntung jika dia benar-benar tahu apa-apa dan mengatur apa pun di muka. Bahkan orang tolol dapat memanggil / mengirim email / faks ke perusahaan telekomunikasi dengan memutus atau bahkan meminta mereka untuk menjalankan pola uji penuh pada sirkuit pada siang hari.

Serius, menunjukkan sedikit cinta dan beberapa ribu pada saat keberangkatan benar-benar mengurangi risiko.

Oh ya, kalau-kalau mereka menelepon untuk "mendapatkan kata sandi atau sesuatu" mengingatkan mereka tentang tarif 1099 Anda dan 1 jam min dan 100 biaya perjalanan per panggilan terlepas apakah Anda harus ke mana saja ...

Hei, itu sama dengan barang bawaan saya! 1,2,3,4!


7

Saya sarankan Anda mulai dari perimeter. Verifikasi konfigurasi firewall Anda pastikan Anda tidak memiliki titik masuk yang tidak diharapkan ke dalam jaringan. Pastikan jaringan secara fisik aman terhadapnya memasuki kembali dan mendapatkan akses ke komputer apa pun.

Pastikan Anda memiliki cadangan yang sepenuhnya berfungsi dan dapat dipulihkan. Cadangan yang baik akan mencegah Anda kehilangan data jika ia melakukan sesuatu yang merusak.

Memeriksa semua layanan yang diizinkan melalui perimeter dan memastikan dia telah ditolak aksesnya. Pastikan sistem tersebut memiliki mekanisme logging yang baik.


5

Hapus semuanya, mulai lagi;)


1
+1 - jika server tingkat root dikompromikan Anda harus memulai lagi dari awal. Jika admin terakhir tidak dapat dipercaya, anggap kompromi tingkat root.
James L

2
Ya ... Ya ... Solusi terbaik ... Juga agak sulit meyakinkan manajemen untuk mengulang semuanya. Direktori aktif. Bertukar. SQL Sharepoint. Bahkan untuk 50 pengguna, ini bukan tugas kecil ... apalagi untuk 300+ pengguna.
Jason Berg

@danp: Heck ya, LEBIH BANYAK MEMBAYAR DAN TANPA AKHIR PEKAN. :(
jscott

1
aww, sysadmin menjadi sengsara, yang bisa meramalkan: p
dmp

2
aww, sysadmin yang masuk akal, yang bisa diprediksi. Walaupun ide Anda memiliki kelebihan teknis, jarang praktis atau layak.
John Gardeniers

5

Bakar itu .... bakar semuanya.

Itu satu-satunya cara untuk memastikan.

Kemudian, bakar semua minat eksternal Anda, pendaftar domain, penyedia pembayaran kartu kredit banyak.

Setelah dipikir-pikir, mungkin lebih mudah untuk meminta teman Bikie untuk meyakinkan orang itu bahwa lebih sehat bagi mereka untuk tidak mengganggu Anda.


1
Eh bagus Jadi jika admin dipecat, hapus seluruh perusahaan secara keseluruhan? Oke, izinkan saya menjelaskannya kepada pemegang saham.
Piskvor

2
satu - satunya cara untuk memastikannya adalah dengan melepaskannya dari orbit
Hubert Kario

4

Agaknya, admin yang kompeten di suatu tempat di sepanjang jalan membuat apa yang disebut CADANGAN konfigurasi sistem dasar. Juga akan aman untuk mengasumsikan ada cadangan yang dilakukan dengan tingkat frekuensi yang masuk akal yang memungkinkan cadangan aman yang diketahui dapat dipulihkan.

Mengingat beberapa hal memang berubah, sebaiknya jalankan dari cadangan Anda yang divirtualisasikan jika memungkinkan hingga Anda dapat memastikan instalasi utama tidak terganggu.

Dengan asumsi yang terburuk menjadi jelas, Anda menggabungkan apa yang dapat Anda lakukan, dan memasukkan sisanya secara langsung.

Saya terkejut tidak ada yang disebutkan menggunakan cadangan yang aman, sebelum saya sendiri. Apakah itu berarti saya harus mengirimkan resume saya ke departemen SDM Anda?


Apa cadangan aman? Admin yang cerdas dan jahat akan menginstal backdoor dua tahun lalu.
Jakob Borg

Cadangkan data mati dan instal prosedur untuk executable dari sumber murni. Juga, cadangan backdoor adalah bukti.
XTL

3

Cobalah untuk mengambil sudut pandangnya.

Anda tahu sistem Anda dan apa fungsinya. Jadi Anda bisa mencoba membayangkan apa yang bisa diciptakan untuk terhubung dari luar, bahkan ketika Anda tidak lagi menjadi sysadmin ...

Bergantung pada bagaimana infrastruktur jaringan dan bagaimana semua ini bekerja, Anda adalah orang terbaik yang mungkin tahu apa yang harus dilakukan dan di mana ini dapat ditemukan.

Tetapi ketika Anda tampaknya berbicara dari sebuah bofh bereksperimen , Anda harus mencari di mana-mana ...

Pelacakan jaringan

Karena tujuan utamanya adalah untuk mengambil kendali jarak jauh dari sistem Anda, melintasi koneksi internet Anda, Anda dapat menonton (bahkan mengganti karena ini juga dapat rusak !!) firewall dan mencoba mengidentifikasi setiap koneksi yang aktif.

Penggantian firewall tidak akan menjamin perlindungan penuh tetapi memastikan tidak ada yang disembunyikan. Jadi jika Anda menonton paket yang diteruskan oleh firewall, Anda harus melihat semuanya termasuk lalu lintas yang tidak diinginkan.

Anda dapat menggunakan tcpdumpuntuk melacak semuanya (seperti paranoid US;) dan menelusuri file dump dengan alat canggih seperti wireshark. Luangkan waktu untuk melihat apa perintah ini (perlu 100GB ruang kosong pada disk):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Jangan percaya semuanya

Bahkan jika Anda menemukan sesuatu, Anda tidak akan yakin bahwa Anda telah menemukan semua hal buruk!

Akhirnya, Anda tidak akan benar-benar diam sebelum menginstal ulang semuanya (dari sumber tepercaya!)


2

Jika Anda tidak dapat mengulangi server, hal terbaik berikutnya mungkin adalah mengunci firewall Anda sebanyak mungkin. Ikuti setiap koneksi masuk yang mungkin dan pastikan dikurangi hingga minimum absolut.

Ubah semua kata sandi.

Ganti semua kunci ssh.


1

Secara umum ...

tetapi jika ini situs web, lihat kode tepat di belakang tombol Login.

Kami menemukan "ketik username = 'admin'" satu kali ...


0

Intinya, jadikan pengetahuan orang-orang IT sebelumnya tidak berharga.

Ubah semua yang dapat Anda ubah tanpa memengaruhi infrastruktur TI.

Mengubah atau mendiversifikasi pemasok adalah praktik lain yang baik.


1
Saya tidak dapat memahami relevansi pemasok dengan pertanyaan.
John Gardeniers

Karena pemasok dapat menjadi teman atau dapat terhubung ke tim TI sebelumnya. Jika Anda menyimpan pemasok yang sama dan mengubah segalanya, Anda berisiko memberi tahu tim TI lama dan membuat semuanya tidak berharga. Saya menulis ini berdasarkan pengalaman sebelumnya.
lrosa

Baiklah, kecuali Anda telah menyerahkan kunci pribadi Anda kepada pemasok, tidak yakin apa yang didapat oleh tim TI sebelumnya dengan ini: "Jadi seperti yang Anda katakan, Bob, mereka menghasilkan kunci baru, kata sandi baru, dan menutup semua akses dari luar? Hmm. [Membuka laptop Mac, menjalankan nmap; ketik selama dua detik] Oke, saya masuk. " (CUT!)
Piskvor

Ini bukan hanya masalah akses perimeter, tetapi masalah infrastruktur TI internal. Katakanlah Anda ingin melakukan serangan berdasarkan rekayasa sosial: mengetahui struktur internal sangat berguna (aturan Mitnick).
lrosa
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.