Bagaimana Anda mencari backdoors dari orang IT sebelumnya?

Kita semua tahu itu terjadi. Seorang pria tua IT yang pahit meninggalkan pintu belakang ke dalam sistem dan jaringan untuk bersenang-senang dengan orang-orang baru dan menunjukkan kepada perusahaan betapa buruknya hal-hal tanpa dirinya.

Saya tidak pernah mengalami ini secara pribadi. Yang paling saya alami adalah seseorang yang memecahkan dan mencuri barang-barang tepat sebelum pergi. Saya yakin ini terjadi.

Jadi, ketika mengambil alih jaringan yang tidak bisa dipercaya, langkah apa yang harus diambil untuk memastikan semuanya aman dan terjamin?

Ini sangat, sangat, sangat sulit. Itu membutuhkan audit yang sangat lengkap. Jika Anda sangat yakin orang tua itu meninggalkan sesuatu yang akan booming, atau mengharuskan mereka mempekerjakan kembali karena merekalah satu-satunya yang dapat memadamkan api, maka inilah saatnya untuk menganggap Anda telah di-root oleh seorang pesta bermusuhan. Perlakukan itu seperti sekelompok peretas masuk dan mencuri barang-barang, dan Anda harus membersihkan setelah kekacauan mereka. Karena memang begitu.

• Audit setiap akun pada setiap sistem untuk memastikannya terkait dengan entitas tertentu.
  • Akun yang tampaknya terkait dengan sistem tetapi tidak ada yang dapat menjelaskan tidak dapat dipercaya.
  • Akun yang tidak terkait dengan apa pun perlu dibersihkan (ini harus tetap dilakukan, tetapi ini sangat penting dalam kasus ini)
• Ubah sembarang dan semua kata sandi yang mungkin telah mereka hubungi.
  • Ini bisa menjadi masalah nyata bagi akun utilitas karena kata sandi tersebut cenderung sulit dikodekan.
  • Jika mereka adalah tipe helpdesk yang menanggapi panggilan pengguna akhir, anggap mereka memiliki kata sandi siapa pun yang mereka bantu.
  • Jika mereka memiliki Admin Perusahaan atau Admin Domain ke Direktori Aktif, anggap mereka mengambil salinan kata sandi hash sebelum mereka pergi. Ini dapat dipecahkan dengan sangat cepat sekarang sehingga perubahan kata sandi di seluruh perusahaan perlu dipaksakan dalam beberapa hari.
  • Jika mereka memiliki akses root ke kotak * nix apa saja asumsikan mereka pergi dengan hash kata sandi.
  • Tinjau semua penggunaan kunci SSH kunci publik untuk memastikan kunci mereka dibersihkan, dan audit jika ada kunci pribadi yang terbuka saat Anda menggunakannya.
  • Jika mereka memiliki akses ke perangkat telekomunikasi, ubah kata sandi router / switch / gateway / PBX. Ini bisa menjadi rasa sakit yang sangat kerajaan karena ini dapat melibatkan pemadaman yang signifikan.
• Audit sepenuhnya pengaturan keamanan perimeter Anda.
  • Pastikan semua lubang firewall melacak perangkat dan port resmi yang dikenal.
  • Pastikan semua metode akses jarak jauh (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, apa pun) tidak memiliki otentikasi tambahan yang dilekatkan, dan periksa sepenuhnya untuk metode akses yang tidak sah.
  • Pastikan tautan WAN jarak jauh dilacak ke orang yang sepenuhnya dipekerjakan, dan verifikasi. Terutama koneksi nirkabel. Anda tidak ingin mereka pergi dengan modem seluler atau ponsel pintar berbayar perusahaan. Hubungi semua pengguna tersebut untuk memastikan mereka memiliki perangkat yang tepat.
• Mengaudit sepenuhnya pengaturan akses istimewa istimewa. Ini adalah hal-hal seperti akses SSH / VNC / RDP / DRAC / iLO / IMPI ke server yang tidak dimiliki pengguna umum, atau akses ke sistem sensitif seperti penggajian.
• Bekerja dengan semua vendor eksternal dan penyedia layanan untuk memastikan kontak sudah benar.
  • Pastikan mereka dihilangkan dari semua kontak dan daftar layanan. Ini harus tetap dilakukan setelah keberangkatan, tetapi sangat penting sekarang.
  • Validasikan semua kontak yang sah dan memiliki informasi kontak yang benar, ini untuk menemukan hantu yang dapat ditiru.
• Mulai berburu bom logika.
  • Periksa semua otomatisasi (penjadwal tugas, tugas cron, daftar info UPS, atau apa pun yang berjalan sesuai jadwal atau dipicu oleh peristiwa) untuk tanda-tanda kejahatan. Dengan "Semua" Maksudku semua. Periksa setiap crontab tunggal. Periksa setiap tindakan otomatis dalam sistem pemantauan Anda, termasuk probe itu sendiri. Periksa setiap Penjadwal Tugas Windows; bahkan workstation. Kecuali jika Anda bekerja untuk pemerintah di daerah yang sangat sensitif Anda tidak akan mampu "semua", lakukan sebanyak yang Anda bisa.
  • Validasikan binari sistem utama pada setiap server untuk memastikannya sebagaimana mestinya. Ini rumit, terutama pada Windows, dan hampir tidak mungkin dilakukan secara surut pada sistem satu kali.
  • Mulai berburu rootkit. Menurut definisi mereka sulit ditemukan, tetapi ada scanner untuk ini.

Tidak mudah sama sekali, bahkan tidak jarak dekat. Membenarkan pengeluaran semua itu bisa sangat sulit tanpa bukti yang pasti bahwa admin sekarang-mantan itu sebenarnya jahat. Keseluruhan hal di atas bahkan tidak dapat dilakukan dengan aset perusahaan, yang akan memerlukan menyewa konsultan keamanan untuk melakukan beberapa pekerjaan ini.

Jika kejahatan aktual terdeteksi, terutama jika kejahatan ada dalam beberapa jenis perangkat lunak, profesional keamanan terlatih adalah yang terbaik untuk menentukan luasnya masalah. Ini juga merupakan titik ketika kasus pidana dapat mulai dibangun, dan Anda benar - benar ingin orang-orang yang terlatih dalam menangani bukti melakukan analisis ini.

Tapi, sungguh, seberapa jauh Anda harus melangkah? Di sinilah manajemen risiko berperan. Secara sederhana, ini adalah metode menyeimbangkan risiko yang diharapkan terhadap kerugian. Sysadmin melakukan hal ini ketika kita memutuskan yang off-site lokasi kami ingin menempatkan backup; brankas bank vs pusat data luar daerah. Mencari tahu berapa banyak dari daftar ini perlu diikuti adalah latihan dalam manajemen risiko.

Dalam hal ini penilaian akan dimulai dengan beberapa hal:

• Tingkat keterampilan yang diharapkan dari yang meninggal
• Akses yang berangkat
• Harapan bahwa kejahatan telah dilakukan
• Potensi kerusakan kejahatan apa pun
• Persyaratan peraturan untuk melaporkan kejahatan yang dilakukan vs yang ditemukan sebelumnya adalah kejahatan. Umumnya Anda harus melaporkan yang pertama, tetapi bukan yang belakangan.

Keputusan seberapa jauh untuk menyelam di lubang kelinci di atas akan tergantung pada jawaban atas pertanyaan-pertanyaan ini. Untuk keberangkatan admin rutin di mana harapan kejahatan sangat sedikit, sirkus penuh tidak diperlukan; mengubah kata sandi tingkat admin dan mengetik ulang semua host SSH yang menghadapi eksternal mungkin cukup. Sekali lagi, postur keamanan manajemen risiko perusahaan menentukan hal ini.

Bagi admin yang diberhentikan karena sebab, atau kejahatan muncul setelah kepergian mereka yang normal, sirkus menjadi lebih dibutuhkan. Skenario kasus terburuk adalah tipe BOFH paranoid yang telah diberitahu bahwa posisi mereka akan dibuat berlebihan dalam 2 minggu, karena itu memberi mereka banyak waktu untuk bersiap-siap; dalam situasi seperti ini , ide Kyle tentang paket pesangon yang murah hati dapat memitigasi semua jenis masalah. Bahkan paranoid dapat mengampuni banyak dosa setelah cek yang berisi gaji 4 bulan tiba. Cek itu mungkin lebih murah daripada biaya konsultan keamanan yang diperlukan untuk menemukan kejahatan mereka.

Tetapi pada akhirnya, itu tergantung pada biaya untuk menentukan apakah kejahatan dilakukan versus potensi biaya kejahatan yang sebenarnya dilakukan.

Saya akan mengatakan itu adalah keseimbangan dari berapa banyak kekhawatiran yang Anda miliki vs uang yang Anda bayarkan.

Sangat prihatin:
Jika Anda sangat prihatin maka Anda mungkin ingin menyewa konsultan keamanan luar untuk melakukan pemindaian lengkap segala sesuatu baik dari perspektif luar maupun internal. Jika orang ini sangat pintar, Anda bisa berada dalam masalah, mereka mungkin memiliki sesuatu yang tidak aktif untuk sementara waktu. Pilihan lainnya adalah dengan membangun kembali semuanya. Ini mungkin terdengar sangat berlebihan tetapi Anda akan mempelajari lingkungan dengan baik dan Anda membuat proyek pemulihan bencana juga.

Ringan Peduli:
Jika Anda hanya sedikit khawatir Anda mungkin hanya ingin melakukan:

• Pindaian port dari luar.
• Pemindaian Virus / Spyware. Rootkit Scan untuk Mesin Linux.
• Lihat konfigurasi firewall untuk hal-hal yang tidak Anda mengerti.
• Ubah semua kata sandi dan cari akun yang tidak dikenal (Pastikan mereka tidak mengaktifkan seseorang yang tidak lagi bersama perusahaan sehingga mereka dapat menggunakannya dll).
• Ini mungkin juga saat yang tepat untuk melihat ke dalam menginstal Intrusion Detection System (IDS).
• Perhatikan log lebih dekat dari biasanya.

Untuk Masa Depan:
Maju ke depan ketika admin pergi memberinya pesta yang menyenangkan dan kemudian ketika mabuk hanya menawarinya pulang - lalu buang dia di sungai, rawa, atau danau terdekat. Lebih serius, ini adalah salah satu alasan bagus untuk memberikan admin pesangon yang murah hati. Anda ingin mereka merasa baik-baik saja tentang pergi sebanyak mungkin. Bahkan jika mereka seharusnya tidak merasa baik, siapa yang peduli ?, hisaplah dan buat mereka bahagia. Berpura-puralah itu salahmu dan bukan kesalahan mereka. Biaya kenaikan biaya untuk asuransi pengangguran dan paket pesangon tidak sebanding dengan kerusakan yang bisa mereka lakukan. Ini semua tentang jalan perlawanan paling sedikit dan menciptakan drama sesedikit mungkin.

Jangan lupa orang-orang seperti Teamviewer, LogmeIn, dll ... Saya tahu ini sudah disebutkan, tetapi audit perangkat lunak (banyak aplikasi di luar sana) dari setiap server / workstation tidak ada ruginya, termasuk pemindaian subnet dengan nmap's Skrip NSE.

Hal pertama yang pertama - dapatkan cadangan semua yang ada di penyimpanan di luar lokasi (mis. Kaset, atau HDD yang Anda lepaskan dan simpan di penyimpanan). Dengan begitu, jika sesuatu yang berbahaya terjadi, Anda mungkin dapat sedikit pulih.

Selanjutnya, sisir melalui aturan firewall Anda. Setiap port terbuka yang mencurigakan harus ditutup. Jika ada pintu belakang maka mencegah akses ke sana akan menjadi hal yang baik.

Akun pengguna - cari pengguna yang tidak puas dan pastikan akses mereka dihapus sesegera mungkin. Jika ada kunci SSH, atau / etc / passwd file, atau entri LDAP, bahkan file .htaccess, semua harus dipindai.

Di server penting Anda, cari aplikasi dan port mendengarkan aktif. Pastikan proses yang berjalan terlampir padanya tampak masuk akal.

Pada akhirnya karyawan yang tidak puas dapat melakukan apa saja - setelah semua, mereka memiliki pengetahuan tentang semua sistem internal. Seseorang berharap mereka memiliki integritas untuk tidak mengambil tindakan negatif.

Infrastruktur yang dikelola dengan baik akan memiliki alat, pemantauan, dan kontrol untuk mencegah hal ini. Ini termasuk:

• Segmentasi jaringan dan firewall yang tepat
• IDS berbasis host
• IDS berbasis jaringan
• Logging pusat
• Kontrol akses
• Ubah kontrol

Jika alat ini berada di tempatnya dengan benar, Anda akan memiliki jejak audit. Jika tidak, Anda harus melakukan tes penetrasi penuh .

Langkah pertama adalah mengaudit semua akses dan mengubah semua kata sandi. Fokus pada akses eksternal dan titik masuk potensial - di sinilah waktu Anda paling baik dihabiskan. Jika jejak eksternal tidak dibenarkan, hilangkan atau perkecil. Ini akan memberi Anda waktu untuk fokus pada lebih banyak detail secara internal. Waspadai semua lalu lintas keluar juga, karena solusi terprogram dapat mentransfer data terbatas secara eksternal.

Pada akhirnya, menjadi administrator sistem dan jaringan akan memungkinkan akses penuh ke sebagian besar atau semua hal. Dengan ini, muncul tingkat tanggung jawab yang tinggi. Mempekerjakan dengan tingkat tanggung jawab ini tidak boleh dianggap enteng dan langkah-langkah harus diambil untuk meminimalkan risiko sejak awal. Jika seorang profesional dipekerjakan, bahkan meninggalkan dengan syarat yang buruk, mereka tidak akan mengambil tindakan yang tidak profesional atau ilegal.

Ada banyak posting terperinci tentang Server Fault yang mencakup audit sistem yang tepat untuk keamanan serta apa yang harus dilakukan jika seseorang diberhentikan. Situasi ini tidak unik dari situ.

BOFH yang cerdik dapat melakukan salah satu dari yang berikut:

1. Program periodik yang memulai koneksi keluar netcat pada port yang terkenal untuk menerima perintah. Misalnya Port 80. Jika dilakukan dengan baik lalu lintas bolak-balik akan memiliki tampilan lalu lintas untuk port itu. Jadi jika pada port 80, itu akan memiliki header HTTP, dan payload akan menjadi potongan yang tertanam dalam gambar.

2. Perintah aperiodik yang terlihat di tempat-tempat tertentu untuk dieksekusi file. Tempat bisa di komputer pengguna, komputer jaringan, tabel tambahan dalam database, direktori file spool sementara.

3. Program yang memeriksa untuk melihat apakah satu atau lebih dari backdoor lainnya masih ada. Jika tidak, maka varian di dalamnya diinstal, dan detail dikirim melalui email ke BOFH

4. Karena banyak cara cadangan sekarang dilakukan dengan disk, modifikasi cadangan untuk mengandung setidaknya beberapa kit root Anda.

Cara untuk melindungi diri Anda dari hal semacam ini:

1. Ketika seorang karyawan kelas BOFH pergi, instal kotak baru di DMZ. Ia mendapat salinan semua lalu lintas yang melewati firewall. Cari anomali dalam lalu lintas ini. Yang terakhir ini tidak sepele, terutama jika BOFH baik dalam meniru pola lalu lintas normal.

2. Ulangi server Anda sehingga binari kritis disimpan di media hanya baca. Artinya, jika Anda ingin memodifikasi / bin / ps, Anda harus pergi ke mesin, secara fisik memindahkan switch dari RO ke RW, reboot satu pengguna, remount partisi itu, instal salinan ps baru Anda, sinkronkan, reboot, beralih sakelar. Sistem yang dilakukan dengan cara ini setidaknya memiliki beberapa program tepercaya dan kernel tepercaya untuk melakukan pekerjaan lebih lanjut.

Tentu saja jika Anda menggunakan windows, Anda disemprot.

3. Buat kompartemen infrastruktur Anda. Tidak masuk akal dengan perusahaan kecil hingga menengah.

Cara untuk mencegah hal semacam ini.

1. Pelamar dokter hewan dengan hati-hati.

2. Cari tahu apakah orang-orang ini tidak puas dan perbaiki masalah personel sebelumnya.

3. Saat Anda mengabaikan admin dengan kekuatan seperti ini mempermanis pai:

   Sebuah. Gajinya atau sebagian dari gajinya berlanjut selama periode waktu tertentu atau sampai ada perubahan besar dalam perilaku sistem yang tidak dijelaskan oleh staf TI. Ini bisa pada peluruhan eksponensial. Misalnya dia mendapat bayaran penuh selama 6 bulan, 80% dari itu selama 6 bulan, 80 persen dari itu untuk 6 bulan ke depan.

   b. Sebagian dari gajinya adalah dalam bentuk opsi saham yang tidak berlaku selama satu sampai lima tahun setelah dia pergi. Opsi-opsi ini tidak dihapus ketika dia pergi. Dia memiliki insentif untuk memastikan bahwa perusahaan akan berjalan baik dalam 5 tahun.

Menurut saya, masalahnya ada bahkan sebelum admin pergi. Hanya saja orang memperhatikan masalah lebih pada waktu itu.

-> Satu membutuhkan proses untuk mengaudit setiap perubahan, dan bagian dari proses adalah bahwa perubahan hanya diterapkan melalui itu.

Pastikan untuk memberi tahu semua orang di perusahaan begitu mereka pergi. Ini akan menghilangkan vektor serangan rekayasa sosial. Jika perusahaan itu besar, maka pastikan orang-orang yang perlu tahu, tahu.

Jika admin juga bertanggung jawab atas kode yang ditulis (situs web perusahaan, dll) maka Anda perlu melakukan audit kode juga.

Ada yang besar yang ditinggalkan semua orang.

Ingat bahwa tidak hanya sistem.

• Apakah vendor tahu orang itu tidak ada di staf, dan tidak boleh diizinkan mengakses (colo, telco)
• Apakah ada layanan eksternal yang dihosting yang mungkin memiliki kata sandi terpisah (pertukaran, crm)
• Mungkinkah mereka memiliki materi pemerasan (baiklah ini mulai mencapai sedikit ...)

Kecuali Anda benar-benar paranoid, maka saran saya hanya akan menjalankan beberapa alat pemindaian TCP / IP (tcpview, wireshark, dll.) Untuk melihat apakah ada sesuatu yang mencurigakan yang mencoba menghubungi dunia luar.

Ubah kata sandi administrator dan pastikan tidak ada akun administrator 'tambahan' yang tidak perlu ada di sana.

Juga, jangan lupa untuk mengubah kata sandi akses nirkabel dan memeriksa pengaturan perangkat lunak keamanan Anda (khususnya AV dan Firewall)

Periksa log di server Anda (dan komputer mereka langsung bekerja di). Cari tidak hanya untuk akun mereka, tetapi juga akun yang bukan administrator yang dikenal. Cari lubang di log Anda. Jika log peristiwa dihapus pada server baru-baru ini, itu dicurigai.

Periksa tanggal yang dimodifikasi pada file di server web Anda. Jalankan skrip cepat untuk mendaftar semua file yang baru saja diubah dan tinjau.

Periksa tanggal terakhir yang diperbarui pada semua kebijakan grup dan objek pengguna Anda dalam AD.

Pastikan semua cadangan Anda berfungsi dan cadangan yang ada masih ada.

Periksa server tempat Anda menjalankan layanan Volume Shadow Copy agar riwayat sebelumnya tidak ada.

Saya sudah melihat banyak hal baik terdaftar dan hanya ingin menambahkan hal-hal lain yang dapat Anda periksa dengan cepat. Akan sangat berharga untuk melakukan review lengkap dari semuanya. Tetapi mulailah dengan tempat-tempat dengan perubahan terbaru. Beberapa dari hal-hal ini dapat dengan cepat diperiksa dan dapat menaikkan beberapa bendera merah awal untuk membantu Anda.

Pada dasarnya, saya akan mengatakan bahwa jika Anda memiliki BOFH yang kompeten, Anda akan dikutuk ... ada banyak cara memasang bom yang tidak diperhatikan. Dan jika perusahaan Anda digunakan untuk mengeluarkan "manu-militer" orang-orang yang dipecat, pastikan bahwa bom itu akan ditanam dengan baik dari pada PHK !!!

Cara terbaik adalah untuk meminimalkan risiko memiliki admin yang marah ... Hindari "PHK untuk memotong biaya" (jika ia adalah BOFH yang kompeten dan ganas, kerugian yang mungkin Anda tanggung mungkin akan jauh lebih besar daripada apa yang akan Anda dapatkan dari PHK) ... Jika dia melakukan kesalahan yang tidak dapat diterima, lebih baik minta dia memperbaikinya (tidak dibayar) sebagai alternatif untuk PHK ... Dia akan lebih bijaksana lain kali untuk tidak mengulangi kesalahan (yang akan menjadi peningkatan dalam nilainya) ... Tetapi pastikan untuk mencapai target yang baik (itu umum bahwa orang yang tidak kompeten dengan karisma yang baik menolak kesalahan mereka sendiri dengan yang kompeten tetapi kurang sosial).

Dan jika Anda menghadapi BOFH sejati dalam arti terburuk (dan bahwa perilaku itu adalah alasan PHK), Anda sebaiknya bersiap untuk menginstal ulang dari awal semua sistem yang telah bersentuhan dengannya (yang mungkin berarti setiap komputer tunggal).

Jangan lupa bahwa perubahan bit tunggal dapat membuat seluruh sistem menjadi kacau ... (setuid bit, Jump if Carry to Jump jika No Carry, ...) dan bahkan alat kompilasi mungkin telah dikompromikan.

Semoga beruntung jika dia benar-benar tahu apa-apa dan mengatur apa pun di muka. Bahkan orang tolol dapat memanggil / mengirim email / faks ke perusahaan telekomunikasi dengan memutus atau bahkan meminta mereka untuk menjalankan pola uji penuh pada sirkuit pada siang hari.

Serius, menunjukkan sedikit cinta dan beberapa ribu pada saat keberangkatan benar-benar mengurangi risiko.

Oh ya, kalau-kalau mereka menelepon untuk "mendapatkan kata sandi atau sesuatu" mengingatkan mereka tentang tarif 1099 Anda dan 1 jam min dan 100 biaya perjalanan per panggilan terlepas apakah Anda harus ke mana saja ...

Hei, itu sama dengan barang bawaan saya! 1,2,3,4!

Saya sarankan Anda mulai dari perimeter. Verifikasi konfigurasi firewall Anda pastikan Anda tidak memiliki titik masuk yang tidak diharapkan ke dalam jaringan. Pastikan jaringan secara fisik aman terhadapnya memasuki kembali dan mendapatkan akses ke komputer apa pun.

Pastikan Anda memiliki cadangan yang sepenuhnya berfungsi dan dapat dipulihkan. Cadangan yang baik akan mencegah Anda kehilangan data jika ia melakukan sesuatu yang merusak.

Memeriksa semua layanan yang diizinkan melalui perimeter dan memastikan dia telah ditolak aksesnya. Pastikan sistem tersebut memiliki mekanisme logging yang baik.

Hapus semuanya, mulai lagi;)

Bakar itu .... bakar semuanya.

Itu satu-satunya cara untuk memastikan.

Kemudian, bakar semua minat eksternal Anda, pendaftar domain, penyedia pembayaran kartu kredit banyak.

Setelah dipikir-pikir, mungkin lebih mudah untuk meminta teman Bikie untuk meyakinkan orang itu bahwa lebih sehat bagi mereka untuk tidak mengganggu Anda.

Agaknya, admin yang kompeten di suatu tempat di sepanjang jalan membuat apa yang disebut CADANGAN konfigurasi sistem dasar. Juga akan aman untuk mengasumsikan ada cadangan yang dilakukan dengan tingkat frekuensi yang masuk akal yang memungkinkan cadangan aman yang diketahui dapat dipulihkan.

Mengingat beberapa hal memang berubah, sebaiknya jalankan dari cadangan Anda yang divirtualisasikan jika memungkinkan hingga Anda dapat memastikan instalasi utama tidak terganggu.

Dengan asumsi yang terburuk menjadi jelas, Anda menggabungkan apa yang dapat Anda lakukan, dan memasukkan sisanya secara langsung.

Saya terkejut tidak ada yang disebutkan menggunakan cadangan yang aman, sebelum saya sendiri. Apakah itu berarti saya harus mengirimkan resume saya ke departemen SDM Anda?

Cobalah untuk mengambil sudut pandangnya.

Anda tahu sistem Anda dan apa fungsinya. Jadi Anda bisa mencoba membayangkan apa yang bisa diciptakan untuk terhubung dari luar, bahkan ketika Anda tidak lagi menjadi sysadmin ...

Bergantung pada bagaimana infrastruktur jaringan dan bagaimana semua ini bekerja, Anda adalah orang terbaik yang mungkin tahu apa yang harus dilakukan dan di mana ini dapat ditemukan.

Tetapi ketika Anda tampaknya berbicara dari sebuah bofh bereksperimen , Anda harus mencari di mana-mana ...

Pelacakan jaringan

Karena tujuan utamanya adalah untuk mengambil kendali jarak jauh dari sistem Anda, melintasi koneksi internet Anda, Anda dapat menonton (bahkan mengganti karena ini juga dapat rusak !!) firewall dan mencoba mengidentifikasi setiap koneksi yang aktif.

Penggantian firewall tidak akan menjamin perlindungan penuh tetapi memastikan tidak ada yang disembunyikan. Jadi jika Anda menonton paket yang diteruskan oleh firewall, Anda harus melihat semuanya termasuk lalu lintas yang tidak diinginkan.

Anda dapat menggunakan tcpdumpuntuk melacak semuanya (seperti paranoid US;) dan menelusuri file dump dengan alat canggih seperti wireshark. Luangkan waktu untuk melihat apa perintah ini (perlu 100GB ruang kosong pada disk):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Jangan percaya semuanya

Bahkan jika Anda menemukan sesuatu, Anda tidak akan yakin bahwa Anda telah menemukan semua hal buruk!

Akhirnya, Anda tidak akan benar-benar diam sebelum menginstal ulang semuanya (dari sumber tepercaya!)

Jika Anda tidak dapat mengulangi server, hal terbaik berikutnya mungkin adalah mengunci firewall Anda sebanyak mungkin. Ikuti setiap koneksi masuk yang mungkin dan pastikan dikurangi hingga minimum absolut.

Ubah semua kata sandi.

Ganti semua kunci ssh.

Secara umum ...

tetapi jika ini situs web, lihat kode tepat di belakang tombol Login.

Kami menemukan "ketik username = 'admin'" satu kali ...

Intinya, jadikan pengetahuan orang-orang IT sebelumnya tidak berharga.

Ubah semua yang dapat Anda ubah tanpa memengaruhi infrastruktur TI.

Mengubah atau mendiversifikasi pemasok adalah praktik lain yang baik.