Как искать заднюю часть от предыдущего ИТ-специалиста?

Мы все знаем, что это происходит. Голый старый ИТ-парень оставляет бэкдор в систему и сеть, чтобы повеселиться с новыми парнями и показать компании, насколько плохие вещи без него.

Я никогда лично не испытывал этого. Больше всего я пережил тот, кто сломал и украл вещи прямо перед отъездом. Я уверен, что это происходит.

Итак, когда вы берете на себя сеть, которой нельзя доверять, какие шаги следует предпринять для обеспечения безопасности и безопасности?

352 голоса | спросил Jason Berg 18 PM00000070000003631 2010, 19:04:36

21 ответ


326

Это действительно, действительно, очень сложно. Это требует очень полного аудита. Если вы очень уверены, что старый человек оставил что-то позади, то это будет идти или потребует повторного найма, потому что они единственные, кто может выпустить огонь, тогда пришло время предположить, что вы были укоренены враждебная сторона. Относитесь к нему, как группа хакеров вошла и украла вещи, и вы должны очистить их после беспорядка. Потому что это то, что есть.

  • Аудит каждой учетной записи в каждой системе для обеспечения ее привязки к определенному объекту.
    • Учетные записи, которые, похоже, связаны с системами, но никто не может учитывать, должны быть недоверчивыми.
    • Учетные записи, которые не связаны ни с чем, необходимо очистить (это необходимо сделать в любом случае, но это особенно важно в этом случае)
  • Измените все пароли, с которыми они могли бы соприкоснуться.
    • Это может быть реальной проблемой для учетных записей служб, поскольку эти пароли, как правило, становятся жестко закодированными в вещах.
    • Если они были типом службы поддержки, отвечающим на вызовы конечного пользователя, предположим, что у них есть пароль любого, кому они помогали.
    • Если у них есть Admin Admin или Domain Admin в Active Directory, предположите, что они схватили копию хэшей паролей, прежде чем они ушли. Их можно так быстро взломать, что в течение нескольких дней потребуется принудительное изменение пароля всей компании.
    • Если у них есть root-доступ к любым * nix-блокам, они уходят с хэшами пароля.
    • Просмотрите все ключевые ключи SSH для открытого ключа, чтобы очистить их ключи и проверить, были ли открыты какие-либо личные ключи, когда вы на нем.
    • Если у них есть доступ к любому телекоммуникационному оборудованию, измените пароль router /switch /gateway /PBX. Это может быть действительно королевской болью, поскольку это может привести к значительным отключениям.
  • Полностью проверьте свои меры безопасности на периметре.
    • Убедитесь, что все отверстия в брандмауэре отслеживаются известными авторизованными устройствами и портами.
    • Убедитесь, что все методы удаленного доступа (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail и т. д.) не имеют дополнительной проверки подлинности и полностью проверяют их для методов несанкционированного доступа.
    • Убедитесь, что удаленные соединения WAN отслеживают полностью занятых людей и проверяют их. Особенно беспроводные соединения. Вы не хотите, чтобы они ушли с компанией, оплаченной сотовой модемей или смартфоном. Свяжитесь со всеми такими пользователями, чтобы убедиться, что у них есть подходящее устройство.
  • Полностью аудит внутренних соглашений о привилегированном доступе. Это такие вещи, как SSH /VNC /RDP /DRAC /iLO /IMPI доступ к серверам, которых нет у обычных пользователей, или к доступу к чувствительным системам, таким как платежная ведомость.
  • Работа со всеми внешними поставщиками и поставщиками услуг для обеспечения правильности контактов.
    • Убедитесь, что они исключены из всех списков контактов и сервисов. Это должно быть сделано в любом случае после любого отправления, но сейчас очень важно.
    • Подтвердить, что все контакты являются законными и имеют правильную контактную информацию, это поиск призраков, которые могут быть выданы за личность.
  • Начните поиск логических бомб.
    • Проверяйте всю автоматизацию (планировщики задач, задания cron, списки выходов UPS, или все, что работает по расписанию или вызвано событиями) для признаков зла. Под «Все» я имею в виду все. Проверьте каждый кронтаб. Проверяйте каждое автоматическое действие в вашей системе мониторинга, включая сами зонды. Проверьте каждый планировщик задач Windows; даже рабочие станции. Если вы не работаете в правительстве в очень чувствительной области, вы не сможете позволить себе «все», сделайте как можно больше.
    • Проверяйте ключевые системные двоичные файлы на каждом сервере, чтобы они были такими, какими они должны быть. Это сложно, особенно в Windows, и почти невозможно делать ретроактивно в разовых системах.
    • Начать поиск руткитов. По определению их трудно найти, но для этого есть сканеры.

Нелегко, даже не отдаленно закрываясь. Обоснование расходов на все это может быть очень тяжело без определенных доказательств того, что теперь бывший администратор был на самом деле злым. Полное из вышеизложенного даже не выполнимо с активами компании, что потребует привлечения консультантов по вопросам безопасности для выполнения некоторых из этих работ.

Если обнаружено фактическое зло, особенно если зло есть в каком-то программном обеспечении, обученные специалисты в области безопасности лучше всего определяют широту проблемы. Это также момент, когда уголовное дело может начаться, и вы действительно хотите, чтобы люди, прошедшие подготовку по обработке доказательств, проводили этот анализ.


Но, действительно, как далеко вы должны идти? Здесь управление рисками входит в игру. Упрощенно это метод балансирования ожидаемого риска от потери. Sysadmins делают это, когда мы решаем , где местоположение за пределами места размещения хотим поставить резервные копии; банковского сейфа, а также центра обработки данных за пределами региона. Выяснив, сколько из этого списка необходимо, это упражнение по управлению рисками.

В этом случаеоценка начнется с нескольких вещей:

  • Ожидаемый уровень умения ушедшего
  • Доступ ушедшего
  • Ожидание, что зло было сделано
  • Потенциальное повреждение любого зла
  • Нормативные требования к отчетности о совершении зла против упреждающего обнаружения зла. Как правило, вы должны сообщать об этом, но не позже.

Решение о том, как далеко вниз по указанной выше кроличьей скважине будет зависеть от ответов на эти вопросы. Для обычных отправлений администратора, где ожидание зла очень незначительно, полный цирк не требуется; вероятно, достаточно изменить пароли на уровне администратора и повторно подключить любые внешние SSH-хосты. Опять же, корпоративная позиция по управлению рисками определяет это.

Для админов, которые были прекращены по причине или зла, возникшие после их обычного нормального отъезда, цирк становится более необходимым. В худшем случае - параноидальный тип BOFH, которому было сообщено, что их позиция будет сделана излишней через 2 недели, поскольку это дает им много времени, чтобы подготовиться; в таких случаях, как эти Идея Кайла о щедрый пакет отказов может смягчить все проблемы. Даже параноики могут простить много грехов после того, как будет получен чек, содержащий 4 месяца. Эта проверка, вероятно, будет стоить меньше, чем затраты консультантов по безопасности, необходимых для выяснения их зла.

Но в конечном счете, это сводится к стоимости определения того, было ли сделано зло против потенциальной стоимости любого зла, которое на самом деле делается.

ответил sysadmin1138 18 PM00000070000001431 2010, 19:40:14
98

Я бы сказал, что это баланс того, насколько вы заботитесь о том, сколько денег вы готовы заплатить.

Очень обеспокоен:
Если вы очень обеспокоены, вы можете нанять внешнего консультанта по безопасности, чтобы выполнить полное сканирование всего, как с внешней, так и с внутренней точки зрения. Если бы этот человек был особенно умным, у вас могли быть проблемы, у них могло бы быть что-то, что будет спящим какое-то время. Другой вариант - просто перестроить все. Это может показаться чрезмерным, но вы хорошо изучите окружающую среду, и вы также выполните проект по восстановлению после аварии.

С обеспокоенностью:
Если вы только слегка обеспокоены, вы можете просто хотеть:

  • Сканирование портов со стороны.
  • Проверка вирусов и шпионского ПО. Сканирование руткитов для Linux-машин.
  • Посмотрите конфигурацию брандмауэра на все, что вы не понимаете.
  • Измените все пароли и найдите неизвестные аккаунты (убедитесь, что они не активировали кого-то, кто больше не работает с компанией, чтобы они могли использовать это и т. д.).
  • Это также может быть хорошим временем для изучения установки системы обнаружения вторжений (IDS).
  • Следите за журналами более подробно, чем обычно.

В будущем:
Идти вперед, когда адмирал уходит, дает ему приятную вечеринку, а затем, когда он выпивает, просто предложит ему кататься домой - затем избавьтесь от него в ближайшей реке, болоте или озере. Более серьезно, это одна из веских причин, чтобы дать администраторам щедрую выходную плату. Вы хотите, чтобы они чувствовали себя хорошо, оставляя как можно больше. Даже если они не должны чувствовать себя хорошо, кто заботится?, Сосать его и сделать их счастливыми. Притворись, что это твоя вина, а не их. Стоимость повышения стоимости страхования по безработице и пакета выходных пособий не сравнивается с ущербом, который они могут сделать. Это все о пути наименьшего сопротивления и создании как можно меньше драмы.

ответил Kyle Brandt 18 PM00000070000003431 2010, 19:18:34
19

Не забывайте, как Teamviewer, LogmeIn и т. д. Я знаю, что это уже упоминалось, но аудит программного обеспечения (многие приложения там) на каждом сервере /рабочей станции не повредит, включая подсеть (ы) сканирование с помощью сценариев NAP nmap.

ответил Mars 25 AM00000020000005631 2010, 02:40:56
18

Прежде всего, сделайте резервную копию всего, что находится на внешнем хранилище (например, лента или жесткий диск, который вы отсоединяете и кладете в хранилище). Таким образом, если произойдет что-то злонамеренное, вы можете немного восстановиться.

Далее, расчистите правила брандмауэра. Любые подозрительные открытые порты должны быть закрыты. Если есть задняя дверь, то предотвращение доступа к ней было бы хорошо.

Учетные записи пользователей - найдите своего недовольного пользователя и убедитесь, что их доступ удален как можно скорее. Если есть SSH-ключи или файлы /etc /passwd или записи LDAP, все файлы .htaccess должны быть отсканированы.

На ваших важных серверах ищите приложения и активные порты прослушивания. Убедитесь, что приложенные к ним процессы работают разумно.

В конечном итоге определенный недовольный сотрудник может что-либо сделать - в конце концов, они знают все внутренние системы. Один надеется, что у них есть целостность, чтобы не предпринимать негативных действий.

ответил PP. 18 PM00000070000000231 2010, 19:25:02
17

У хорошо функционирующей инфраструктуры будут инструменты, мониторинг и контроль, чтобы в значительной степени предотвратить это. К ним относятся:

Если эти инструменты установлены правильно, у вас будет контрольный журнал. В противном случае вам нужно будет выполнить полный тест на проникновение .

Первым шагом будет аудит всего доступа и изменение всех паролей. Сосредоточьтесь на внешнем доступе и потенциальных точках входа - это то, где ваше время лучше всего проводить. Если внешний след не оправдан, устраните его или скрепите. Это позволит вам сосредоточиться на большей части деталей внутри страны. Помните обо всех исходящих трафиках, поскольку программные решения могут передавать внешние данные извне.

В конечном счете, системный администратор и сетевой администратор позволят получить полный доступ к большинству, если не ко всем вещам. При этом возникает высокая степень ответственности. Наем с этим уровнем ответственности не следует воспринимать легкомысленно, и необходимо предпринять шаги для минимизации риска с самого начала. Если нанимается профессионал, даже выходя на плохие условия, они не будут предпринимать действия, которые были бы непрофессиональными или незаконными.

Есть много подробных сообщений о Server Fault, которые охватывают надлежащий системный аудит для обеспечения безопасности, а также что делать в случае чьего-то прекращения. Эта ситуация не уникальна.

ответил Warner 18 PM00000070000004031 2010, 19:31:40
16

Умный BOFH может выполнить любое из следующих действий:

  1. Периодическая программа, которая инициирует исходящее соединение netcat на хорошо известном порту для сбора команд. Например. Порт 80. Если хорошо сделанный задний и четвертый трафик будет иметь вид трафика для этого порта. Так что если на порту 80, у него будут HTTP-заголовки, и полезная нагрузка будет фрагментами, встроенными в изображения.

  2. Апериодическая команда, которая просматривает определенные места для исполняемых файлов. Места могут быть на компьютерах пользователей, сетевых компьютерах, дополнительных таблицах в базах данных, временных каталогах файлов spool.

  3. Программы, которые проверяют, все ли еще одна или несколько других бэкдоров. Если это не так, то установлен вариант на нем, и детали, отправленные по электронной почте в BOFH

  4. Так как в настоящее время делается резервное копирование с диска, измените резервные копии, чтобы содержать хотя бы некоторые из ваших корневых наборов.

Способы защитить себя от такого рода вещей:

  1. Когда сотрудник класса BOFH уходит, установите новое поле в DMZ. Он получает копию всего трафика, проходящего через брандмауэр. Ищите аномалии в этом трафике. Последнее нетривиально, особенно если BOFH хорошо имитирует обычные трафик.

  2. Верните свои серверы, чтобы критические двоичные файлы были сохранены на носителях только для чтения. То есть, если вы хотите изменить /bin /ps, вам нужно перейти на компьютер, физически переместить переключатель из RO в RW, перезагрузить одного пользователя, перезагрузить этот раздел rw, установить новую копию ps, синхронизацию, перезагрузку, Переключить переключатель. Система, выполненная таким образом, имеет как минимум некоторые доверенные программы и доверенное ядро ​​для дальнейшей работы.

Конечно, если вы используете окна, вы будете закрыты.

  1. Разделите свою инфраструктуру. Не разумно с фирмами малого и среднего размера.

Способы предотвращения такого рода вещей.

  1. Заявители Vet тщательно.

  2. Узнайте, недовольны ли эти люди и заранее ли они устраняют проблемы персонала.

  3. Когда вы увольняете администратора с этими видами сил, подсластите пирог:

    а. Его зарплата или часть его зарплаты продолжаются в течение определенного периода времени или до тех пор, пока не произойдет существенное изменение в поведении системы, которое не объясняется ИТ-персоналом. Это может быть экспоненциальное распад. Например. он получает полную оплату в течение 6 месяцев, 80% из которых на 6 месяцев, 80% , что в течение следующих 6 месяцев.

    б. Часть его заработной платы находится в форме опционов на акции, которые не вступают в силу через один-пять лет после его ухода. Эти параметры не удаляются, когда он уходит. У него есть стимул убедиться, что компания будет работать хорошо через 5 лет.

ответил 25 PM00000070000002531 2010, 19:37:25
13

Мне кажется, что проблема существует даже до выхода администратора. Просто в это время замечается проблема.

- > Нужен процесс проверки каждого изменения, и часть процесса заключается в том, что изменения применяются только через него.

ответил Stephan Wehner 25 AM00000020000004231 2010, 02:55:42
12

Обязательно сообщите всем в компании, как только они уйдут. Это устранит вектор атаки социальной инженерии. Если компания большая, то убедитесь, что люди, которые должны знать, знают.

Если администратор также отвечал за написанный код (корпоративный веб-сайт и т. д.), вам также нужно будет выполнить аудит кода.

ответил 25 AM00000060000003031 2010, 06:51:30
12

Есть большой, который все не учитывают.

Помните, что существуют не только системы.

  • Знают ли продавцы, что человек не находится в штате и не должен иметь доступ (colo, telco).
  • Есть ли внешние хостинговые службы, которые могут иметь отдельные пароли (обмен, crm)
  • Могут ли они иметь материал шантажа в любом случае (хорошо, что это начинает немного доходить ...)
ответил LapTop006 25 PM00000030000002531 2010, 15:08:25
9

Если вы действительно не параноик, тогда мое предложение будет просто запускать несколько инструментов сканирования TCP /IP (tcpview, wireshark и т. д.), чтобы увидеть, есть ли какие-либо подозрительные попытки связаться с внешним миром.

Измените пароли администратора и убедитесь, что нет дополнительных учетных записей администратора, которые не должны быть там.

Кроме того, не забудьте изменить пароль беспроводного доступа и проверить свои настройки программного обеспечения безопасности (в частности, AV и Firewall)

ответил emtunc 18 PM00000070000003131 2010, 19:23:31
9

Проверяйте журналы на своих серверах (и на компьютерах, на которых они непосредственно работают). Посмотрите не только на свою учетную запись, но и на учетные записи, которые неизвестны администраторам. Ищите отверстия в ваших журналах. Если на сервере недавно был удален журнал событий, он подозревается.

Проверьте измененную дату на файлах на ваших веб-серверах. Запустите быстрый скрипт, чтобы просмотреть все недавно измененные файлы и просмотреть их.

Проверьте последнюю обновленную дату для всех ваших групповых политик и пользовательских объектов в AD.

Убедитесь, что все ваши резервные копии работают, и существующие резервные копии все еще существуют.

Проверьте серверы, на которых выполняются службы теневого копирования томов для предыдущей истории.

Я уже вижу много хороших вещей и просто хотел добавить эти другие вещи, которые вы можете быстро проверить. Было бы целесообразно провести полный обзор всего. Но начните с мест с самыми последними изменениями. Некоторые из этих вещей можно быстро проверить и могут поднять некоторые ранние красные флаги, чтобы помочь вам.

ответил 25 AM00000050000001431 2010, 05:00:14
7

В принципе, я бы сказал, что если у вас есть компетентный BOFH, вы обречены ... есть много способов установки бомб, которые были бы незамеченными. И если ваша компания используется для изгнания «ману-военных» тех, кого уволят, убедитесь, что бомба будет посажена до увольнения!

Лучший способ - свести к минимуму риск иметь сердитого администратора ... Избегайте «увольнения за сокращение расходов» (если он является компетентным и порочным BOFH, потери, которые вы можете понести, вероятно, будут больше, выйдет из увольнения) ... Если он допустил какую-то неприемлемую ошибку, лучше заставить его исправить это (неоплачиваемое) как альтернативу увольнению ... В следующий раз он будет более осмотрительным, чтобы не повторить ошибку (которая будет быть повышением его ценности) ... Но обязательно удариться по хорошей цели (обычно нечестные люди с хорошей харизмой отвергают свою собственную ошибку компетентному, но менее социальному).

И если вы столкнулись с истинным BOFH в худшем (и это поведение является причиной увольнения), вы должны быть готовы переустановить всю систему, с которой он контактировал (что вероятно, будет означать каждый отдельный компьютер).

Не забывайте, что однократное изменение может привести к сбою всей системы ... (бит setuid, Jump if Carry to Jump, если нет Carry, ...) и что даже инструменты компиляции могут быть скомпрометированы.

ответил 25 AM00000020000003831 2010, 02:55:38
7

Удачи, если он действительно что-то знает и что-то заблагорассудится. Даже тупица может вызывать /отправлять по электронной почте /факс telco с разъединениями или даже просить их запускать полные тестовые образцы на схемах в течение дня.

Серьезно, показывая немного любви и несколько великих при отъезде, действительно уменьшает риск.

О да, в случае, если они звонят «получить пароль или что-то», напомните им о вашей ставке 1099 и 1-часовом минимальном и 100 путевых расходах за звонок независимо от того, где вы должны быть где угодно ...

Эй, это то же самое, что мой багаж! 1,2,3,4!

ответил 25 AM000000100000001331 2010, 10:57:13
7

Я предлагаю начать с периметра. Проверьте конфигурацию брандмауэра, убедитесь, что у вас нет ожидаемых точек входа в сеть. Убедитесь, что сеть физически защищена от его повторного входа и доступа к любым компьютерам.

Убедитесь, что у вас есть полностью работающие и восстанавливаемые резервные копии. Хорошие резервные копии не позволят вам потерять данные, если он сделает что-то разрушительное.

Проверка любых услуг, разрешенных по периметру, и убедитесь, что ему отказали в доступе. Убедитесь, что эти системы имеют хорошие рабочие механизмы регистрации.

ответил Zoredache 18 PM00000070000001431 2010, 19:21:14
5

Удалить все, начать заново;)

ответил dmp 18 PM00000070000003431 2010, 19:08:34
5

Сжечь его .... записать все.

Это единственный способ убедиться.

Затем запишите все ваши внешние интересы, регистраторы доменов, провайдеры платежей по кредитным картам.

С другой стороны, возможно, легче попросить товарищей по Бики убедить человека, что для них более здорово не беспокоить вас.

ответил 25 AM00000050000004031 2010, 05:07:40
4

Предположительно, компетентный администратор где-то по пути сделал то, что называется BACKUP базовой конфигурации системы. Также было бы безопасно предположить, что резервные копии выполняются с некоторым разумным уровнем частоты, позволяющим восстанавливать известную безопасную резервную копию.

Учитывая, что некоторые вещи do изменяются, рекомендуется использовать из резервной копии, если это возможно, до тех пор, пока вы не сможете гарантировать, что первичная установка не будет скомпрометирована.

Предполагая, что худшее становится очевидным, вы объединяете то, что можете, и вводите вручную остаток.

Я шокирован, никто не упомянул об использовании безопасной резервной копии, до меня самого. Означает ли это, что я должен представить свое резюме в ваши отделы кадров?

ответил 25 AM00000060000004431 2010, 06:36:44
3

Попытайтесь принять его точку зрения.

Вы знаете свою систему и то, что она делает. Поэтому вы можете попытаться представить, что может быть придумано для подключения снаружи, даже если вы больше не являетесь системным администратором ...

В зависимости от того, как сетевая инфраструктура и как все это работает, вы лучший человек, который может знать, что делать и где это может быть расположено.

Но, как вы, по-видимому, говорите по опыту bofh , вам нужно искать почти всюду ...

Отслеживание сети

В качестве основной цели - использовать удаленный контроль вашей системы, в зависимости от вашего интернет-соединения, вы можете посмотреть (даже заменить, потому что это тоже может быть повреждено !!) брандмауэр и попытаться определить активное .

Замена брандмауэра не гарантирует полную защиту, но гарантирует, что ничего не останется скрытым. Поэтому, если вы смотрите пакет, перенаправленный брандмауэром, вы должны видеть все, включая нежелательный трафик.

Вы можете использовать tcpdump для отслеживания всего (как, например, параноик США;), и просмотреть файл дампа с помощью расширенного инструмента, такого как wireshark. Потратьте немного времени, чтобы увидеть, что эта команда (нужно 100Gb свободного места на диске):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Не доверяйте всем

Даже если вы что-то найдете, вы не будете уверены, что вас нашли целые плохие вещи!

Наконец, вы не будете действительно спокойны, прежде чем будете повторно установлены все (из надежных источников!)

ответил F. Hauri 9 J000000Tuesday13 2013, 16:45:24
2

Если вы не можете переделать сервер, следующая лучшая вещь, вероятно, заблокировать ваши брандмауэры столько, сколько сможете. Следуйте каждому возможному входящему соединению и убедитесь, что он сведен к абсолютному минимуму.

Измените все пароли.

Заменить все ключи ssh.

ответил wolfgangsz 18 PM00000070000005631 2010, 19:20:56
1

В целом его довольно сложно ...

, но если его веб-сайт, посмотрите код, расположенный непосредственно за кнопкой входа.

Мы обнаружили одноименную вещь типа «имя_пользователя =« admin »...

ответил Mark Redman 19 PM00000050000004731 2010, 17:38:47
0

В сущности, сделать знания предыдущих ИТ-специалистов бесполезными.

Измените все, что вы можете изменить, не оказывая влияния на ИТ-инфраструктуру.

Изменение или диверсификация поставщиков - еще одна хорошая практика.

ответил lrosa 18 PM00000070000003431 2010, 19:56:34

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132