it-swarm.com.de

Wie suchen Sie nach Hintertüren der vorherigen IT-Person?

Wir alle wissen, dass es passiert. Ein bitterer alter IT-Mann hinterlässt ein Hintertür im System und im Netzwerk, um Spaß mit den neuen Leuten zu haben und der Firma zu zeigen, wie schlimm die Dinge ohne ihn sind.

Ich habe das noch nie persönlich erlebt. Das Beste, was ich erlebt habe, ist jemand, der kurz vor seiner Abreise Sachen kaputt gemacht und gestohlen hat. Ich bin mir aber sicher, dass dies passiert.

Welche Schritte sollten bei der Übernahme eines nicht vertrauenswürdigen Netzwerks unternommen werden, um sicherzustellen, dass alles sicher ist?

364
Jason Berg

Es ist wirklich sehr, sehr, sehr schwer. Es erfordert eine sehr vollständige Prüfung. Wenn Sie sehr sicher sind, dass die alte Person etwas zurückgelassen hat, das boomt, oder eine Neueinstellung erfordern, weil sie die einzige ist, die ein Feuer löschen kann, dann ist es Zeit anzunehmen, dass Sie von einem verwurzelt wurden feindliche Partei. Behandle es wie eine Gruppe von Hackern, die hereingekommen sind und Sachen gestohlen haben, und du musst nach ihrem Durcheinander aufräumen. Weil es so ist.

  • Überprüfen Sie jedes Konto auf jedem System, um sicherzustellen, dass es einer bestimmten Entität zugeordnet ist.
    • Konten, die mit Systemen verbunden zu sein scheinen, die aber niemand berücksichtigen kann, sind zu misstrauen.
    • Konten, die mit nichts verknüpft sind, müssen gelöscht werden (dies muss trotzdem erfolgen, ist aber in diesem Fall besonders wichtig).
  • Ändern Sie alle Passwörter, mit denen sie möglicherweise in Kontakt gekommen sind.
    • Dies kann ein echtes Problem für Dienstprogrammkonten sein, da diese Kennwörter in der Regel fest codiert werden.
    • Wenn es sich um einen Helpdesk-Typ handelt, der auf Endbenutzeranrufe reagiert, wird davon ausgegangen, dass er das Kennwort aller von ihm unterstützten Personen hat.
    • Wenn sie Enterprise Admin oder Domain Admin für Active Directory hatten, nehmen Sie an, dass sie eine Kopie der Kennwort-Hashes abgerufen haben, bevor sie gegangen sind. Diese können jetzt so schnell geknackt werden, dass eine unternehmensweite Kennwortänderung innerhalb weniger Tage erzwungen werden muss.
    • Wenn sie Root-Zugriff auf * nix-Boxen hatten, gehen sie davon aus, dass sie mit den Passwort-Hashes abgereist sind.
    • Überprüfen Sie die gesamte Verwendung von SSH-Schlüsseln mit öffentlichem Schlüssel, um sicherzustellen, dass ihre Schlüssel gelöscht werden, und prüfen Sie, ob private Schlüssel verfügbar waren, während Sie gerade dabei sind.
    • Wenn sie Zugriff auf Telekommunikationsgeräte hatten, ändern Sie alle Router-/Switch-/Gateway-/PBX-Passwörter. Dies kann ein wirklich königlicher Schmerz sein, da dies zu erheblichen Ausfällen führen kann.
  • Überprüfen Sie Ihre Perimeter-Sicherheitsvorkehrungen vollständig.
    • Stellen Sie sicher, dass alle Firewall-Lücken auf bekannte autorisierte Geräte und Ports zurückgeführt werden.
    • Stellen Sie sicher, dass für alle RAS-Methoden (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail usw.) keine zusätzliche Authentifizierung aktiviert ist, und überprüfen Sie sie vollständig auf nicht autorisierte Zugriffsmethoden.
    • Stellen Sie sicher, dass Remote-Links WAN Links zu vollbeschäftigten Personen führen, und überprüfen Sie dies. Insbesondere bei drahtlosen Verbindungen. Sie möchten nicht, dass sie mit einem von einem Unternehmen bezahlten Mobilfunkmodem oder Smartphone abreisen. Wenden Sie sich an alle Benutzer, um sicherzustellen, dass sie das richtige Gerät haben.
  • Interne Prüfung des privilegierten Zugriffs vollständig prüfen. Dies sind Dinge wie SSH/VNC/RDP/DRAC/iLO/IMPI-Zugriff auf Server, über die allgemeine Benutzer keinen Zugriff haben, oder Zugriff auf vertrauliche Systeme wie die Gehaltsabrechnung.
  • Arbeiten Sie mit allen externen Anbietern und Dienstleistern zusammen, um sicherzustellen, dass die Kontakte korrekt sind.
    • Stellen Sie sicher, dass sie nicht in allen Kontakt- und Servicelisten enthalten sind. Dies sollte ohnehin nach jeder Abreise erfolgen, ist aber jetzt besonders wichtig.
    • Überprüfen Sie, ob alle Kontakte legitim sind und über die richtigen Kontaktinformationen verfügen. Dies dient dazu, Geister zu finden, die sich als solche ausgeben können.
  • Beginne nach logischen Bomben zu suchen.
    • Überprüfen Sie die gesamte Automatisierung (Taskplaner, Cron-Jobs, UPS-Abruflisten oder alles, was nach einem Zeitplan ausgeführt wird oder durch Ereignisse ausgelöst wird) auf Anzeichen von Übel. Mit "Alle" meine ich alle. Überprüfen Sie jede einzelne Crontab. Überprüfen Sie jede einzelne automatisierte Aktion in Ihrem Überwachungssystem, einschließlich der Sonden selbst. Überprüfen Sie jeden einzelnen Windows Task Scheduler. sogar Arbeitsplätze. Wenn Sie nicht in einem hochsensiblen Bereich für die Regierung arbeiten, können Sie sich nicht "alles" leisten. Tun Sie so viel wie möglich.
    • Überprüfen Sie die wichtigsten Systembinärdateien auf jedem Server, um sicherzustellen, dass sie den Anforderungen entsprechen. Dies ist insbesondere unter Windows schwierig und auf einmaligen Systemen kaum rückwirkend möglich.
    • Beginnen Sie mit der Suche nach Rootkits. Per Definition sind sie schwer zu finden, aber es gibt Scanner dafür.

Im geringsten nicht einfach, auch nicht aus der Ferne. Die Kosten für all das zu rechtfertigen, kann wirklich schwierig sein, ohne den eindeutigen Beweis zu erbringen, dass der Ex-Administrator tatsächlich böse war. Das Ganze ist nicht einmal mit dem Unternehmensvermögen machbar, weshalb Sicherheitsberater eingestellt werden müssen, um einen Teil dieser Arbeit zu erledigen.

Wenn tatsächliches Übel entdeckt wird, insbesondere wenn sich das Übel in einer Art Software befindet, sind geschulte Sicherheitsexperten die besten, um die Breite des Problems zu bestimmen. Dies ist auch der Punkt, an dem ein Strafverfahren eingeleitet werden kann, und Sie möchten wirklich , dass Personen, die im Umgang mit Beweismitteln geschult sind, diese Analyse durchführen.


Aber wie weit müssen Sie wirklich gehen? Hier kommt Risikomanagement ins Spiel. Vereinfacht ausgedrückt ist dies die Methode, um das erwartete Risiko gegen den Verlust abzuwägen. Sysadmins tun dies, wenn wir entscheiden , an welchem ​​ externen Standort wir Backups erstellen möchten. Bankschließfach gegen ein Rechenzentrum außerhalb der Region. Herauszufinden, wie viel von dieser Liste befolgt werden muss, ist eine Übung im Risikomanagement.

In diesem Fall beginnt die Bewertung mit einigen Dingen:

  • Das erwartete Qualifikationsniveau des Verstorbenen
  • Der Zugang der Verstorbenen
  • Die Erwartung, dass das Böse getan wurde
  • Der potenzielle Schaden eines Übels
  • Regulatorische Anforderungen für die Meldung von begangenem Übel im Vergleich zu präventiv gefundenem Übel. Im Allgemeinen müssen Sie das erstere melden, aber nicht das spätere.

Die Entscheidung, wie weit das obige Kaninchenloch hinunter getaucht werden soll, hängt von den Antworten auf diese Fragen ab. Bei routinemäßigen Verwaltungsabfahrten, bei denen die Erwartung des Bösen sehr gering ist, ist kein vollständiger Zirkus erforderlich. Das Ändern von Kennwörtern auf Administratorebene und das erneute Eingeben von externen SSH-Hosts ist wahrscheinlich ausreichend. Dies bestimmt wiederum die Sicherheitslage des Unternehmensrisikomanagements.

Für Admins, die aus wichtigem Grund gekündigt wurden oder nach ihrer sonst normalen Abreise das Böse aufgetaucht ist, wird der Zirkus mehr gebraucht. Das schlimmste Szenario ist ein paranoider BOFH-Typ, dem mitgeteilt wurde, dass seine Position in zwei Wochen entlassen wird, da sie genügend Zeit haben, sich fertig zu machen. Unter solchen Umständen kann Kyles Idee eines großzügigen Abfindungspakets alle Arten von Problemen lindern. Sogar Paranoiden können viele Sünden vergeben, nachdem ein Scheck mit 4 Monatsgehältern eingetroffen ist. Diese Überprüfung wird wahrscheinlich weniger kosten als die Kosten der Sicherheitsberater, die benötigt werden, um ihr Übel aufzuspüren.

Aber letztendlich kommt es auf die Kosten an, um festzustellen, ob das Böse getan wurde, im Vergleich zu den potenziellen Kosten eines tatsächlich begangenen Übels.

333
sysadmin1138

Ich würde sagen, es ist ein Gleichgewicht zwischen Ihrer Besorgnis und dem Geld, das Sie bereit sind zu zahlen.

Sehr besorgt :
Wenn Sie sehr besorgt sind, können Sie einen externen Sicherheitsberater beauftragen, um alles von außen und von innen vollständig zu scannen. Wenn diese Person besonders schlau wäre, könnten Sie in Schwierigkeiten geraten, sie könnte etwas haben, das für eine Weile ruht. Die andere Möglichkeit besteht darin, einfach alles neu zu erstellen. Dies mag sehr übertrieben klingen, aber Sie werden die Umgebung gut kennenlernen und auch ein Disaster Recovery-Projekt durchführen.

leicht besorgt :
Wenn Sie nur leicht besorgt sind, möchten Sie vielleicht nur Folgendes tun:

  • Ein Port-Scan von außen.
  • Viren-/Spyware-Scan. Rootkit-Scan für Linux-Computer.
  • Überprüfen Sie die Firewall-Konfiguration auf alles, was Sie nicht verstehen.
  • Ändern Sie alle Passwörter und suchen Sie nach unbekannten Konten (Stellen Sie sicher, dass sie niemanden aktiviert haben, der nicht mehr im Unternehmen ist, damit er diese verwenden kann usw.).
  • Dies könnte auch ein guter Zeitpunkt sein, um ein Intrusion Detection System (IDS) zu installieren.
  • Beobachten Sie die Protokolle genauer als gewöhnlich.

Für die Zukunft :
Wenn ein Administrator geht, geben Sie ihm eine schöne Party und wenn er betrunken ist, bieten Sie ihm einfach eine Heimfahrt an - und entsorgen Sie ihn dann im nächsten Fluss, Sumpf oder See. Im Ernst, dies ist einer der guten Gründe, Admins eine großzügige Abfindung zu gewähren. Sie möchten, dass sie sich in Ordnung fühlen, wenn sie so viel wie möglich verlassen. Auch wenn sie sich nicht gut fühlen sollten, wen interessiert das?, Saugen Sie es auf und machen Sie sie glücklich. Tu so, als wäre es deine Schuld und nicht ihre. Die Kosten für eine Erhöhung der Kosten für die Arbeitslosenversicherung und das Abfindungspaket sind nicht mit dem Schaden vergleichbar, den sie anrichten könnten. Hier geht es um den Weg des geringsten Widerstands und darum, so wenig Drama wie möglich zu schaffen.

100
Kyle Brandt

Vergessen Sie nicht Teamviewer, LogmeIn usw. Ich weiß, dass dies bereits erwähnt wurde, aber ein Software-Audit (viele Apps da draußen) jedes Servers/jeder Workstation würde nicht schaden, einschließlich Subnetz-Scans mit nmaps NSE-Skripte.

20
Mars

Das Wichtigste zuerst - Erstellen Sie ein Backup von allem, was sich außerhalb des Standorts befindet (z. B. Band oder Festplatte, die Sie trennen und in den Speicher einlegen). Auf diese Weise können Sie sich möglicherweise ein wenig erholen, wenn etwas Bösartiges passiert.

Durchsuchen Sie als Nächstes Ihre Firewall-Regeln. Verdächtige offene Ports sollten geschlossen werden. Wenn es eine Hintertür gibt, ist es eine gute Sache, den Zugang zu dieser Tür zu verhindern.

Benutzerkonten - Suchen Sie nach Ihrem verärgerten Benutzer und stellen Sie sicher, dass dessen Zugriff so schnell wie möglich entfernt wird. Wenn SSH-Schlüssel oder/etc/passwd-Dateien oder LDAP-Einträge vorhanden sind, sollten auch .htaccess-Dateien gescannt werden.

Suchen Sie auf Ihren wichtigen Servern nach Anwendungen und aktiven Überwachungsports. Stellen Sie sicher, dass die damit verbundenen laufenden Prozesse sinnvoll erscheinen.

Letztendlich kann ein entschlossener verärgerter Mitarbeiter alles tun - schließlich kennt er alle internen Systeme. Man hofft, dass sie die Integrität haben, keine negativen Maßnahmen zu ergreifen.

18
PP.

Eine gut geführte Infrastruktur wird über die Tools, die Überwachung und die Kontrollen verfügen, um dies weitgehend zu verhindern. Diese beinhalten:

Wenn diese Tools ordnungsgemäß installiert sind, verfügen Sie über einen Prüfpfad. Andernfalls müssen Sie einen vollständigen Penetrationstest durchführen.

Der erste Schritt wäre, den gesamten Zugriff zu prüfen und alle Passwörter zu ändern. Konzentrieren Sie sich auf externen Zugriff und potenzielle Einstiegspunkte - hier verbringen Sie Ihre Zeit am besten. Wenn der externe Fußabdruck nicht gerechtfertigt ist, entfernen Sie ihn oder verkleinern Sie ihn. So haben Sie Zeit, sich intern auf weitere Details zu konzentrieren. Beachten Sie auch den gesamten ausgehenden Datenverkehr, da programmatische Lösungen möglicherweise eingeschränkte Daten extern übertragen.

Als System- und Netzwerkadministrator erhalten Sie letztendlich vollen Zugriff auf die meisten, wenn nicht alle Dinge. Damit verbunden ist ein hohes Maß an Verantwortung. Einstellungen mit diesem Maß an Verantwortung sollten nicht leichtfertig vorgenommen werden, und es sollten Schritte unternommen werden, um das Risiko von Anfang an zu minimieren. Wenn ein Fachmann eingestellt wird, auch wenn er zu schlechten Bedingungen abreist, ergreift er keine unprofessionellen oder illegalen Maßnahmen.

Es gibt viele detaillierte Beiträge zu Serverfehlern, die sich mit der ordnungsgemäßen Systemüberwachung aus Sicherheitsgründen sowie den Maßnahmen im Falle einer Kündigung befassen. Diese Situation ist nicht einzigartig von diesen.

17
Warner

Ein kluger BOFH kann Folgendes tun:

  1. Periodisches Programm, das eine ausgehende Netcat-Verbindung an einem bekannten Port initiiert, um Befehle abzurufen. Z.B. Port 80. Wenn dies gut gemacht wäre, würde der Hin- und Her-Verkehr den Anschein von Verkehr für diesen Port haben. Wenn also an Port 80 HTTP-Header vorhanden wären und die Nutzdaten in Bildern eingebettete Blöcke wären.

  2. Aperiodischer Befehl, der an bestimmten Stellen nach auszuführenden Dateien sucht. Orte können sich auf Benutzercomputern, Netzwerkcomputern, zusätzlichen Tabellen in Datenbanken und temporären Spooldateiverzeichnissen befinden.

  3. Programme, die prüfen, ob eine oder mehrere der anderen Hintertüren noch vorhanden sind. Ist dies nicht der Fall, wird eine Variante installiert und die Details per E-Mail an die BOFH gesendet

  4. Ändern Sie die Sicherungen so, dass mindestens einige Ihrer Root-Kits enthalten sind, da jetzt viele Sicherungen mit der Festplatte durchgeführt werden.

Möglichkeiten, sich vor solchen Dingen zu schützen:

  1. Wenn ein Mitarbeiter der BOFH-Klasse das Unternehmen verlässt, installieren Sie eine neue Box in der DMZ. Es wird eine Kopie des gesamten Datenverkehrs abgerufen, der die Firewall passiert. Suchen Sie nach Anomalien in diesem Verkehr. Letzteres ist nicht trivial, insbesondere wenn die BOFH normale Verkehrsmuster gut nachahmen kann.

  2. Wiederholen Sie Ihre Server, damit wichtige Binärdateien auf schreibgeschützten Medien gespeichert werden. Das heißt, wenn Sie/bin/ps ändern möchten, müssen Sie zum Computer gehen, einen Switch physisch von RO zu RW verschieben), einen einzelnen Benutzer neu starten, diese Partition rw erneut bereitstellen und Ihre installieren Neue Kopie von ps, Sync, Neustart, Kippschalter. Ein auf diese Weise ausgeführtes System verfügt über mindestens einige vertrauenswürdige Programme und einen vertrauenswürdigen Kernel, um weitere Arbeiten auszuführen.

Wenn Sie Fenster verwenden, sind Sie natürlich abgespritzt.

  1. Unterteilen Sie Ihre Infrastruktur. Nicht sinnvoll bei kleinen bis mittleren Unternehmen.

Möglichkeiten, so etwas zu verhindern.

  1. Tierarztbewerber sorgfältig.

  2. Finden Sie heraus, ob diese Personen verärgert sind, und beheben Sie die Personalprobleme im Voraus.

  3. Wenn Sie einen Administrator mit diesen Befugnissen entlassen, versüßen Sie den Kuchen:

    ein. Sein Gehalt oder ein Bruchteil seines Gehalts bleibt für einen bestimmten Zeitraum oder bis zu einer wesentlichen Änderung des Systemverhaltens bestehen, die von den IT-Mitarbeitern nicht erklärt wird. Dies könnte ein exponentieller Zerfall sein. Z.B. er bekommt 6 Monate lang den vollen Lohn, 80% davon für 6 Monate, 80% von das für die nächsten 6 Monate.

    b. Ein Teil seiner Vergütung besteht aus Aktienoptionen, die ein bis fünf Jahre nach seinem Ausscheiden nicht wirksam werden. Diese Optionen werden nicht entfernt, wenn er geht. Er hat einen Anreiz sicherzustellen, dass das Unternehmen in 5 Jahren gut läuft.

16

Es fällt mir auf, dass das Problem bereits besteht, bevor der Administrator das Unternehmen verlässt. Es ist nur so, dass man das Problem zu dieser Zeit mehr bemerkt.

-> Man braucht einen Prozess, um jede Änderung zu prüfen, und ein Teil des Prozesses besteht darin, dass Änderungen nur durch ihn angewendet werden.

13
Stephan Wehner

Stellen Sie sicher, dass Sie alle Mitarbeiter des Unternehmens informieren, sobald sie das Unternehmen verlassen haben. Dadurch wird der Social-Engineering-Angriffsvektor eliminiert. Wenn das Unternehmen groß ist, stellen Sie sicher, dass die Leute, die es wissen müssen, es wissen.

Wenn der Administrator auch für den geschriebenen Code verantwortlich war (Unternehmenswebsite usw.), müssen Sie ebenfalls eine Codeprüfung durchführen.

12
user52238

Es gibt eine große, die jeder ausgelassen hat.

Denken Sie daran, dass es nicht nur Systeme gibt.

  • Wissen Anbieter, dass diese Person nicht im Personal ist und keinen Zugriff erhalten sollte (colo, telco)?
  • Gibt es externe gehostete Dienste, die möglicherweise separate Kennwörter haben (Exchange, CRM)?
  • Könnten sie sowieso Erpressungsmaterial haben (in Ordnung, das fängt an, ein bisschen zu erreichen ...)
12
LapTop006

Überprüfen Sie die Protokolle auf Ihren Servern (und Computern, auf denen sie direkt arbeiten). Suchen Sie nicht nur nach ihrem Konto, sondern auch nach Konten, die keine bekannten Administratoren sind. Suchen Sie nach Löchern in Ihren Protokollen. Wenn kürzlich ein Ereignisprotokoll auf einem Server gelöscht wurde, liegt ein Verdacht vor.

Überprüfen Sie das Änderungsdatum für Dateien auf Ihren Webservern. Führen Sie ein schnelles Skript aus, um alle kürzlich geänderten Dateien aufzulisten und zu überprüfen.

Überprüfen Sie das Datum der letzten Aktualisierung aller Gruppenrichtlinien- und Benutzerobjekte in AD.

Stellen Sie sicher, dass alle Ihre Sicherungen funktionieren und die vorhandenen Sicherungen noch vorhanden sind.

Überprüfen Sie auf Servern, auf denen Sie Volume Shadow Copy-Dienste ausführen, ob der vorherige Verlauf fehlt.

Ich sehe bereits viele gute Dinge aufgelistet und wollte nur diese anderen Dinge hinzufügen, die Sie schnell überprüfen können. Es würde sich lohnen, alles vollständig zu überprüfen. Beginnen Sie jedoch mit den Orten mit den letzten Änderungen. Einige dieser Dinge können schnell überprüft werden und einige frühe rote Fahnen setzen, um Ihnen zu helfen.

9
Kevin Marquette

Wenn Sie nicht wirklich paranoid sind, würde mein Vorschlag einfach darin bestehen, mehrere TCP/IP-Scan-Tools (tcpview, wireshark usw.) auszuführen, um festzustellen, ob verdächtige Versuche bestehen, mit der Außenwelt in Kontakt zu treten.

Ändern Sie die Administratorkennwörter und stellen Sie sicher, dass keine zusätzlichen Administratorkonten vorhanden sind, die nicht vorhanden sein müssen.

Vergessen Sie auch nicht, die Kennwörter für den drahtlosen Zugriff zu ändern und die Einstellungen Ihrer Sicherheitssoftware (insbesondere AV und Firewall) zu überprüfen.

9
emtunc

Grundsätzlich würde ich sagen, wenn Sie eine kompetente BOFH haben, sind Sie zum Scheitern verurteilt ... es gibt viele Möglichkeiten, Bomben zu installieren, die unbemerkt bleiben würden. Und wenn Ihre Firma es gewohnt ist, "Manu-Militär" derjenigen, die gefeuert werden, auszuwerfen, stellen Sie sicher, dass die Bombe vor der Entlassung gut gepflanzt wird !!!

Der beste Weg ist, das Risiko eines verärgerten Administrators zu minimieren ... Vermeiden Sie die "Entlassung wegen Kostensenkung" (wenn er ein kompetenter und bösartiger BOFH ist, sind die Verluste, die Ihnen möglicherweise entstehen, wahrscheinlich viel größer als die, die Sie daraus ziehen die Entlassung) ... Wenn er einen inakzeptablen Fehler gemacht hat, ist es besser, ihn als Alternative zur Entlassung reparieren zu lassen (unbezahlt) ... Er wird das nächste Mal vorsichtiger sein, den Fehler nicht zu wiederholen (was eine Erhöhung sein wird) in seinem Wert) ... Aber seien Sie sicher, das gute Ziel zu treffen (es ist üblich, dass inkompetente Menschen mit gutem Charisma ihre eigene Schuld gegenüber dem kompetenten, aber weniger sozialen ablehnen).

Und wenn Sie im schlimmsten Sinne vor einem echten BOFH stehen (und dass dieses Verhalten der Grund für die Entlassung ist), sollten Sie besser darauf vorbereitet sein, das gesamte System, mit dem er in Kontakt stand, von Grund auf neu zu installieren (was wahrscheinlich bedeuten wird) jeder einzelne Computer).

Vergessen Sie nicht, dass eine einzelne Bitänderung das gesamte System zerstören kann ... (Setuid-Bit, Jump if Carry to Jump if No Carry, ...) und dass möglicherweise sogar die Kompilierungswerkzeuge kompromittiert wurden.

7
Denis

Ich schlage vor, dass Sie am Umfang beginnen. Überprüfen Sie Ihre Firewall-Konfigurationen, um sicherzustellen, dass Sie keine unerwarteten Einstiegspunkte in das Netzwerk haben. Stellen Sie sicher, dass das Netzwerk physisch sicher ist, dass er nicht wieder in Computer eintritt und Zugriff darauf erhält.

Stellen Sie sicher, dass Sie über voll funktionsfähige und wiederherstellbare Sicherungen verfügen. Gute Backups verhindern, dass Sie Daten verlieren, wenn er etwas Destruktives tut.

Überprüfen Sie alle Dienste, die über den Perimeter zulässig sind, und stellen Sie sicher, dass ihm der Zugriff verweigert wurde. Stellen Sie sicher, dass auf diesen Systemen gut funktionierende Protokollierungsmechanismen vorhanden sind.

7
Zoredache

Viel Glück, wenn er wirklich etwas weiß und etwas im Voraus einrichtet. Sogar ein Trottel kann die Telekommunikation mit Unterbrechungen anrufen/per E-Mail/Fax senden oder sie sogar bitten, tagsüber vollständige Testmuster auf den Schaltkreisen auszuführen.

Im Ernst, ein bisschen Liebe und ein paar Riesen bei der Abreise zu zeigen, verringert das Risiko wirklich.

Oh ja, falls sie anrufen, um "ein Passwort oder etwas zu bekommen", erinnern sie sie an Ihren 1099-Tarif und die 1-stündigen Mindest- und 100 Reisekosten pro Anruf, unabhängig davon, ob Sie irgendwo sein müssen ...

Hey, das ist das gleiche wie mein Gepäck! 1,2,3,4!

7
PointedHead Kid

Verbrenne es ... verbrenne alles.

Nur so können Sie sicher sein.

Dann verbrennen Sie alle Ihre externen Interessen, Domain-Registrare, Kreditkartenzahler das Los.

Beim zweiten Gedanken ist es vielleicht einfacher, Bikie-Freunde zu bitten, die Person davon zu überzeugen, dass es für sie gesünder ist, Sie nicht zu stören.

5
David

Alles löschen, neu starten;)

5
dmp

Vermutlich hat ein kompetenter Administrator irgendwo auf dem Weg ein sogenanntes BACKUP der Basissystemkonfiguration erstellt. Es ist auch sicher anzunehmen, dass Sicherungen mit einer angemessenen Häufigkeit durchgeführt werden, sodass eine bekannte sichere Sicherung wiederhergestellt werden kann.

Angesichts der Tatsache, dass sich einige Dinge do ändern, ist es eine gute Idee, Ihr Backup möglichst virtualisiert auszuführen, bis Sie sicherstellen können, dass die primäre Installation nicht beeinträchtigt wird.

Angenommen, das Schlimmste wird offensichtlich, führen Sie das, was Sie können, zusammen und geben den Rest von Hand ein.

Ich bin schockiert, dass niemand vor mir die Verwendung eines sicheren Backups erwähnt hat. Heißt das, ich sollte meinen Lebenslauf bei Ihren Personalabteilungen einreichen?

Versuchen Sie, seinen Standpunkt einzunehmen.

Sie kennen Ihr System und wissen, was es tut. Sie könnten also versuchen, sich vorzustellen, was erfunden sein könnte, um sich von außen zu verbinden, selbst wenn Sie kein Systemadministrator mehr sind ...

Abhängig davon, wie die Netzwerkinfrastruktur ist und wie all dies funktioniert, sind Sie die beste Person, die möglicherweise weiß, was zu tun ist und wo sich diese befinden könnte.

Aber da Sie scheinbar von einem experimentierten bofh sprechen, müssen Sie fast überall suchen ...

Netzwerkverfolgung

Da das Hauptziel darin besteht, Remote die Kontrolle über Ihr System über Ihre Internetverbindung zu übernehmen, können Sie die Firewall beobachten (sogar ersetzen, da dies ebenfalls beschädigt werden könnte !!) und versuchen, jeweils aktive Verbindung.

Das Ersetzen der Firewall gewährleistet keinen vollständigen Schutz, stellt jedoch sicher, dass nichts verborgen bleibt. Wenn Sie also nach Paketen suchen, die von der Firewall weitergeleitet werden, sehen Sie müssen alles, einschließlich unerwünschten Datenverkehrs.

Sie können tcpdump verwenden, um alles zu verfolgen (wie es US-Paranoid tut;) und die Dump-Datei mit einem erweiterten Tool wie wireshark zu durchsuchen. Nehmen Sie sich ein paar Zeit, um zu sehen, was dieser Befehl bedeutet (benötigen Sie 100 GB freien Speicherplatz auf der Festplatte):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Vertraue nicht alles

Selbst wenn Sie etwas finden, werden Sie nicht sicher sein, dass Sie ganz schlechtes Zeug gefunden haben!

Schließlich werden Sie nicht wirklich leise sein, bevor Sie neu installiert wurden alles (aus vertrauenswürdigen Quellen!)

3
F. Hauri

Wenn Sie den Server nicht wiederherstellen können, ist es wahrscheinlich das nächstbeste, Ihre Firewalls so weit wie möglich zu sperren. Folgen Sie jeder möglichen eingehenden Verbindung und stellen Sie sicher, dass sie auf das absolute Minimum reduziert ist.

Ändern Sie alle Passwörter.

Ersetzen Sie alle SSH-Schlüssel.

2
wolfgangsz

Im Allgemeinen ist es ziemlich schwer ...

wenn es sich jedoch um eine Website handelt, sehen Sie sich den Code direkt hinter der Schaltfläche "Anmelden" an.

Wir haben einmal eine Sache vom Typ "if username = 'admin'" gefunden ...

1
Mark Redman

Machen Sie im Wesentlichen das Wissen der vorherigen IT-Mitarbeiter wertlos.

Ändern Sie alles, was Sie ändern können, ohne die IT-Infrastruktur zu beeinträchtigen.

Der Wechsel oder die Diversifizierung von Lieferanten ist eine weitere gute Praxis.

0
lrosa