Вопросы Теги

Как Вы ищете бэкдоры от предыдущего человека IT?

Способность имеет невероятно богатый набор шаблонов поиска. В Вашем случае Вы захотите ~i (для "установленного") и ~A, как так:

aptitude search '~i ~Ajaunty-proposed'

Как пример, у меня есть несколько пакетов, установленных от 'выносливых бэкпортов':

$ aptitude search '~i ~Ahardy-backports'
i A bacula-common                   - network backup, recovery and verification
i   bacula-fd                       - network backup, recovery and verification
i A libsvn-perl                     - Perl bindings for Subversion
i A libsvn1                         - Shared libraries used by Subversion
i   rsync                           - fast remote file copy program (like rcp)
i   subversion                      - Advanced version control system
$

359
задан 26 May 2011 в 19:02
21 ответ

Это действительно, действительно, действительно трудно. Это требует очень полного аудита. Если Вы очень уверены, что старый человек оставил что-то, что это пойдет бум или потребует их повторно нанимать, потому что они - единственный, кто может произвести огонь, то пора предположить, что Вы были базированы враждебной стороной. Рассматривайте это как группа хакеров вошло и украло материал, и необходимо вымыться после их путаницы. Поскольку вот что это значит.

  • Проверьте каждый счет в каждой системе, чтобы гарантировать, что это связано с определенным объектом.
    • Должны подозреваться учетные записи, которые кажутся связанными с системами, но никто не может объяснить.
    • Учетные записи, которые ни с чем не связаны, должны быть очищены (это должно быть сделано так или иначе, но это особенно важно в этом случае),
  • Измените любого и все пароли, с которыми они, возможно, очевидно вошли в контакт.
    • Это может быть настоящей проблемой для служебных учетных записей, поскольку те пароли имеют тенденцию быть трудно кодированными в вещи.
    • Если они были типом справочной службы, отвечающим на вызовы конечного пользователя, предполагают, что у них есть пароль любого, кому они помогли.
    • Если у них были Администратор Предприятия или Администратор домена к Active Directory, предположите, что они захватили копию хэшей пароля, прежде чем они уехали. Они могут быть взломаны настолько быстро теперь, когда общекорпоративное изменение пароля должно будет быть вызвано в течение дней.
    • Если у них был корневой доступ к кому-либо *, отклоняют поля, предполагают, что они ушли с хэшами пароля.
    • Рассмотрите все использование ключа SSH с открытым ключом, чтобы гарантировать, что их ключи очищены, и аудит, если какие-либо закрытые ключи были выставлены, в то время как Вы в нем.
    • Если у них был доступ к какому-либо телекоммуникационному механизму, измените любые пароли маршрутизатора/переключателя/шлюза/PBX. Это может быть действительно королевской болью, поскольку это может включить значительные отключения электричества.
  • Полностью контролируйте свои системы безопасности периметра.
    • Удостоверьтесь, чтобы все дыры брандмауэра проследили до известных авторизованных устройств и портов.
    • Удостоверьтесь, чтобы все методы удаленного доступа (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, безотносительно) не имели никакой дополнительной аутентификации, прикрепляемой на, и полностью исследовали их для методов несанкционированного доступа.
    • Удостоверьтесь, чтобы удаленные каналы WAN проследили до полностью нанятых людей и проверили его. Особенно беспроводные соединения. Вы не хотите их уходящий с компанией, заплаченной модем ячейки или смартфон. Свяжитесь со всеми такими пользователями, чтобы гарантировать, чтобы у них было правильное устройство.
  • Полностью контролируйте внутренние расположения привилегированного доступа. Это вещи как SSH/VNC/RDP/DRAC/iLO/IMPI доступ к серверам, которые обычные пользователи не имеют, или никакой доступ к чувствительным системам как платежная ведомость.
  • Работа со всеми внешними поставщиками и поставщиками услуг для обеспечения контактов корректна.
    • Удостоверьтесь, что они устраняются из всего контакта и сервисных списков. Это должно быть сделано так или иначе после любого отъезда, но дополнительно-важно теперь.
    • Проверьте все контакты, законны и имеют корректную контактную информацию, это должно найти фантомы, которые могут быть явлены олицетворением.
  • Начните искать для логических бомб.
    • Проверьте всю автоматизацию (планировщики задач, задания крона, списки выноски UPS или что-либо, что работает на расписании или инициировано событием) для знаков зла. "Всем" я имею в виду все. Проверьте каждый crontab. Проверьте каждое автоматизированное действие в свою систему контроля, включая сами датчики. Проверьте каждый Windows Task Scheduler; даже рабочие станции. Если Вы не будете работать на правительство в очень чувствительной области, Вы не сможете предоставить "все", сделать столько, сколько Вы можете.
    • Проверьте ключевые системные двоичные файлы на каждом сервере, чтобы гарантировать, что они - каковы они должны быть. Это хитро, особенно в Windows, и почти невозможно сделать задним числом в одноразовых системах.
    • Начните искать для руткитов. По определению их трудно найти, но существуют сканеры для этого.

Не легкий ни в малейшей степени, даже удаленно близко. Выравнивание по ширине расхода всего этого может быть действительно трудным без определенного доказательства, которое теперь - исключая администратором было на самом деле злым. Полнота вышеупомянутого даже не является выполнимой с активами компании, которые потребуют, чтобы консультанты по безопасности найма сделали часть этой работы.

Если фактическое зло обнаруживается, особенно если зло находится в некотором программном обеспечении, обученные специалисты по безопасности являются лучшими для определения ширины проблемы. Это - также точка, когда уголовное дело может начать создаваться, и Вы действительно хотите людей, которые обучены в обработке доказательства для выполнения этого анализа.

Но, действительно, как далеко необходимо пойти? Это - то, где управление рисками играет роль. Упрощенно, это - метод балансировки ожидаемого риска против потери. Системные администраторы делают это, когда мы решаем, какое удаленное местоположение мы хотим поместить резервные копии; сейф банка по сравнению с центром обработки данных из региона. Выяснение, для сколько из этого списка нужно следующее, является упражнением в управлении рисками.

В этом случае оценка запустится с нескольких вещей:

  • Ожидаемый уровень квалификации покойного
  • Доступ покойного
  • Ожидание, что зло было сделано
  • Потенциальный ущерб любого зла
  • Нормативные требования для создания отчетов о совершенном зле по сравнению с заблаговременно найденным злом. Обычно необходимо сообщить о первом, но не позже.

Решение о том, как далеко вниз вышеупомянутая кроличья нора для дайвинга будет зависеть от ответов на эти вопросы. Для стандартных администраторских отъездов, где ожидание зла является очень небольшим, не требуется полный цирк; изменение паролей администраторского уровня и повторный ввод любых стоящих внешним образом хостов SSH, вероятно, достаточны. Снова, корпоративное положение безопасности управления рисками определяет это.

Для администраторов, которые были завершены по причине или злу, неожиданно возник после их в других отношениях нормального отъезда цирк становится более необходимым. Худший вариант является параноидальным BOFH-типом, кто был уведомлен, что их положение будет сокращено через 2 недели, поскольку это дает им много времени для подготовки; при обстоятельствах как эти идея Kyle щедрого пакета разрыва может смягчить весь вид проблем. Даже параноики могут простить много грехов после того, как проверка, содержащая плату 4 месяцев, прибудет. Та проверка будет, вероятно, стоить меньше, чем стоимость консультантов по безопасности должна была выведать их зло.

Но в конечном счете, это сводится к стоимости определения, если зло было сделано по сравнению с потенциальной стоимостью какого-либо зла, на самом деле сделанного.

332
ответ дан 28 November 2019 в 19:13
  • 1
    Большой ответ. Кроме того, не забывайте удалять покойного сотрудника как авторизованную точку контакта для поставщиков услуг и поставщиков. Доменные регистраторы. Интернет-провайдеры. Телекоммуникационные компании. Удостоверьтесь, чтобы все эти третьи стороны получили слово, что сотрудник больше не разрешается внести изменения или обсудить учетные записи компании. –  Mox 25 August 2010 в 04:44

Удача, если он действительно знает что-нибудь и настроил что-нибудь заранее. Даже болван может назвать/послать по электронной почте/отправить факсом телекоммуникационную компанию с разъединениями или даже попросить, чтобы они выполнили полные тестовые шаблоны на схемах в течение дня.

Серьезно, показывая немного любви и некоторые главные на отъезде действительно уменьшают риск.

О, да, в случае, если они звонят для "получения пароля, или что-то" напоминает им о 1 099 уровнях и минута 1 часа и 100 путевых расходов на вызов независимо, если необходимо быть где-нибудь...

Эй, это совпадает с моим багажом! 1,2,3,4!

7
ответ дан 28 November 2019 в 19:13

Я предлагаю, чтобы Вы запустили в периметре. Проверьте, что Ваши конфигурации брандмауэра удостоверяются, что у Вас нет неожиданных точек входа в сеть. Удостоверьтесь сеть, физически безопасная против него повторно вводящий и добирающийся доступ к любым компьютерам.

Проверьте, что у Вас есть полностью рабочие и restoreable резервные копии. Хорошие резервные копии помешают Вам освобождать данные, если он действительно сделает что-то разрушительное.

Проверка любых сервисов, которые разрешены через периметр и удостоверяются, что он был запрещен доступа. Удостоверьтесь, что те системы имеют в распоряжении хорошие механизмы входа работы.

7
ответ дан 28 November 2019 в 19:13

В основном я сказал бы, что, если бы у Вас есть компетентный BOFH, Вы обречены... существует много способа установить бомбы, которые были бы не замечены. И если Ваша компания используется для извлечения "manu-вооруженных-сил" те, кто уволен, быть уверенным, что бомба будет заложена хорошо bofore временное увольнение!!!

Лучший способ состоит в том, чтобы минимизировать риски наличия сердитого администратора... Избегайте "временного увольнения для сокращения затрат" (если он будет компетентным и порочным BOFH, то убытки, которые можно потерпеть, вероятно, будут путем, больше, чем, что Вы получите от временного увольнения)... Если он сделал некоторую недопустимую ошибку, лучше сделать, чтобы он зафиксировал его (неоплаченный) как альтернатива временному увольнению... Он будет более благоразумным следующим разом, который не повторит ошибку (который будет увеличением его значения)... Но обязательно достигните хорошего целевого показателя (распространено, что некомпетентные люди с хорошей харизмой отклоняют свой собственный отказ к компетентному, но меньшему количеству социального).

И если Вы сталкиваетесь с истинным BOFH в худшем смысле (и что то поведение является причиной временного увольнения), Вы должны быть готовы переустановить с нуля всю систему, которой он был в контакте с (который будет, вероятно, означать каждый компьютер).

Не забывайте, что единственное разрядное изменение может заставить целую систему пойти опустошение... (setuid бит, Переход, если Несут к Переходу, если Никакие Не Несут...) и что даже инструменты компиляции, возможно, были поставлены под угрозу.

7
ответ дан 28 November 2019 в 19:13

Проверьте вход в систему Ваши серверы (и компьютеры, они непосредственно продолжают работать). Не только ищите их учетную запись, но также и учетные записи, которые не являются известными администраторами. Ищите дыры в своих журналах. Если журнал событий был недавно очищен на сервере, это - подозреваемый.

Проверьте измененную дату на файлах на Ваших веб-серверах. Запустите быстрый скрипт, чтобы перечислить все недавно измененные файлы и рассмотреть их.

Проверьте последнее обновление дата на всей Вашей групповой политике и пользовательских объектах в AD.

Проверьте, что все Ваши резервные копии работают, и существующие резервные копии все еще существует.

Проверьте серверы, куда Вы выполняете Службы теневого копирования томов для предыдущей истории для пропавших без вести.

Я уже вижу много хороших перечисленных вещей и просто требуемых для добавления этих других вещей, которые можно быстро проверить. Это стоило бы того, чтобы сделать полный обзор всего. Но запустите с мест с новыми изменениями. Некоторые из этих вещей могут быть быстро проверены и могут повысить некоторые ранние красные флаги для выручения Вас.

9
ответ дан 28 November 2019 в 19:13

Если Вы не действительно действительно параноики, затем мое предложение просто выполнило бы несколько инструментов сканирования TCP/IP (tcpview, wireshark и т.д.), чтобы видеть, существует ли что-нибудь подозрительная попытка связаться с внешним миром.

Измените пароли администратора и удостоверьтесь, что нет никаких 'дополнительных' учетных записей администратора, которые не должны быть там.

Кроме того, не забывайте изменять пароли беспроводного доступа и проверять Ваши настройки защитного программного обеспечения (AV и Брандмауэр в особенности)

9
ответ дан 28 November 2019 в 19:13

Существует большой, который все не учли.

Помните, что нет просто систем.

  • Сделайте поставщики знают, что человек не является штатным, и не должен быть разрешен доступ (Колорадо, телекоммуникационная компания)
  • Есть ли любые внешние размещенные сервисы, которые могут иметь отдельные пароли (обмен, crm)
  • У них мог быть материал шантажа по так или иначе (хорошо, это начинает достигать немного...),
12
ответ дан 28 November 2019 в 19:13

Удостоверьтесь, что сказали всем в компании, после того как они уехали. Это устранит вектор атаки социальной инженерии. Если компания является крупной, то удостоверьтесь люди, которые должны знать, знать.

Если администратор был также ответственен за записанный код (корпоративный веб-сайт и т.д.) затем, необходимо будет сделать проверку соответствия программы спецификациям также.

12
ответ дан 28 November 2019 в 19:13

Это ударяет меня, что проблема существует даже, прежде чем администратор уезжает. Это просто, что каждый замечает проблему больше в то время.

-> Каждому нужен процесс для аудита каждого изменения, и часть процесса - то, что изменения только применяются через него.

13
ответ дан 28 November 2019 в 19:13
  • 1
    мне любопытно на предмет того, как Вы осуществляете этот вид процесса? –  Mr. Shiny and New 安宇 25 August 2010 в 16:35

Умный BOFH мог сделать любое следующее:

  1. Периодическая программа, которая инициирует netcat исходящее соединение на стандартном порте для взятия команд. Например, Порт 80. Если бы хорошо сделано назад и вперед трафик имел бы появление трафика для того порта. Таким образом, если бы на порте 80, это имело бы HTTP-заголовки, и полезная нагрузка была бы блоками, встроенными в изображения.

  2. Апериодическая команда, которая смотрит в определенных местах для файлов для выполнения. Места могут быть на пользовательских компьютерах, сетевых компьютерах, дополнительных таблицах в базах данных, временных каталогах буферного файла.

  3. Программы, которые проверяют, чтобы видеть, все еще ли один или несколько из других бэкдоров на месте. Если это не, то вариант на нем установлен, и детали, посланные по электронной почте к BOFH

  4. С тех пор очень в способе резервных копий теперь сделан с диском, измените резервные копии для содержания по крайней мере некоторых корневых наборов.

Способы защитить себя от этого вида вещи:

  1. Когда сотрудник класса BOFH уедет, установите новое поле в демилитаризованной зоне. Это получает копию всего трафика, передающего брандмауэр. Ищите аномалии в этом трафике. Последний нетривиален, особенно если BOFH способен имитировать нормальные шаблоны трафика.

  2. Восстановите свои серверы так, чтобы критические двоичные файлы были сохранены на медиа только для чтения. Таким образом, если Вы хотите изменить/bin/ps, необходимо перейти к машине, физически переместить переключатель от RO до RW, отдельного пользователя перезагрузки, повторно смонтировать, что раздел rw, установите новую копию PS, синхронизации, перезагрузки, переключателя. Система, сделанная этот путь, имеет по крайней мере некоторые доверяемые программы и доверяемое ядро для того, чтобы сделать дальнейшую работу.

Конечно, при использовании окон Вы политы из шланга.

  1. Разделите свою инфраструктуру. Не разумный с малыми и средними фирмами размера.

Способы предотвратить этот вид вещи.

  1. Исследуйте заявителей тщательно.

  2. Узнайте, сердят ли этих людей и решают проблемы персонала заранее.

  3. Когда Вы увольняете администратора с этими видами полномочий, подслащивают круг:

    a. Его зарплата или часть его зарплаты продолжаются сроком на время или пока нет существенное изменение в поведении системы, которое не объяснено штатом IT. Это могло быть на экспоненциальном распаде. Например, он получает полную плату в течение 6 месяцев, 80% из этого в течение 6 месяцев, 80 процентов из этого в течение следующих 6 месяцев.

    b. Часть его платы в форме фондовых опционов, которые не вступают в силу в течение одного - пяти лет после того, как он уезжает. Эти опции не удалены, когда он уезжает. У него есть стимул удостовериться, что компания будет работать хорошо через 5 лет.

16
ответ дан 28 November 2019 в 19:13

Хорошо управляемая инфраструктура будет иметь инструменты, контроль и средства управления на месте для большого предотвращения этого. Они включают:

Если эти инструменты будут существовать правильно, то у Вас будет журнал аудита. Иначе Вы оказываетесь перед необходимостью выполнять полный тест на проникновение.

Первый шаг должен был бы контролировать весь доступ и изменить все пароли. Внимание на внешний доступ и потенциальные точки входа - это - то, где Ваше время лучше всего проведено. Если внешнее место не выравнивается по ширине, устраните его или уменьшите его. Это позволит Вам время, чтобы сфокусироваться на большем количестве деталей внутренне. Знайте обо всем исходящем трафике также, поскольку программные решения могли передавать ограниченные данные внешне.

В конечном счете быть системным администратором и администратором сети предоставит полный доступ к большинству если не все вещи. С этим, прибывает высокая степень ответственности. Найм с этим уровнем ответственности не должен быть взят слегка, и шаги должны быть сделаны для уменьшения риска от запуска. Если бы профессионал нанят, даже уехав на плохих условиях, они не приняли бы меры, которые были бы непрофессиональными или недопустимыми.

Существует много подробных сообщений на Отказе сервера, которые касаются надлежащего системного аудита для безопасности, а также что сделать в случае чьего-то завершения. Эта ситуация не уникальна от тех.

17
ответ дан 28 November 2019 в 19:13

Не забывайте подобных Teamviewer, LogmeIn, и т.д... Я знаю, что это было уже упомянуто, но аудит программного обеспечения (много приложений там) каждого сервера/рабочей станции не причинит боль, включая сканирования подсети (подсетей) со сценариями nmap NSE.

20
ответ дан 28 November 2019 в 19:13

Первые вещи сначала - получают резервное копирование всего на удаленном устройстве хранения данных (например, лента или жесткий диск, который Вы разъединяете и оставляете про запас). Тот путь, если что-то злонамеренное происходит, Вы можете восстанавливаться немного.

Затем, прочешите свои правила брандмауэра. Должны быть закрыты любые подозрительные открытые порты. Если бы существует черный ход, затем предотвращающий доступ к нему, была бы хорошая вещь.

Учетные записи пользователей - ищут Вашего раздраженного пользователя и гарантируют, что их доступ удален как можно скорее. Если существуют ключи SSH или/etc/passwd файлы, или записи LDAP, даже .htaccess файлы, должны все быть просканированы.

На Ваших важных серверах ищут приложения и активные порты прослушивания. Удостоверьтесь, чтобы рабочие процессы, присоединенные к ним, казались разумными.

В конечном счете решительный раздраженный сотрудник может сделать что-либо - в конце концов, у них есть знание всех внутренних систем. Каждый надеется, что у них есть целостность для не принятия отрицательных мер.

18
ответ дан 28 November 2019 в 19:13
  • 1
    Но не забывайте, что то, чего Вы только что создали резервную копию, может включать базированные приложения/конфигурацию/данные и т.д. –  Shannon Nelson 25 August 2010 в 01:54

Я сказал бы, что это - баланс того, сколько беспокойства Вы имеете по сравнению с деньгами, которые Вы готовы заплатить.

Очень соответствующий:
Если Вы являетесь очень соответствующими затем, можно хотеть нанять внешний консультант по безопасности, чтобы сделать полное сканирование всего и с внешней и с внутренней точки зрения. Если бы этот человек был особенно умен, то Вы могли бы быть в беде, у них могло бы быть что-то, что будет бездействовать некоторое время. Другая опция состоит в том, чтобы просто восстановить все. Это может звучать очень чрезмерным, но Вы изучите среду хорошо, и Вы делаете проект аварийного восстановления также.

Мягко затронутый:
Если Вы только мягко обеспокоены, что могли бы просто хотеть сделать:

  • Сканирование портов с внешней стороны.
  • Сканирование вируса/Шпионского ПО. Сканирование руткита для Машин Linux.
  • Просмотрите конфигурацию брандмауэра для чего-либо, что Вы не понимаете.
  • Измените все пароли и ищите любые неизвестные учетные записи (Удостоверьтесь, что они не активировали кого-то, кто больше не с компанией, таким образом, они могли использовать это и т.д.).
  • Это могло бы также быть хорошим временем для изучения установки Системы обнаружения проникновения (IDS).
  • Наблюдайте, что журналы более тесно, чем Вы обычно делают.

Для будущего:
Продвижение, когда администратор уезжает, дает ему хорошую сторону и затем когда он выпитый просто предлагает ему, поездка домой - затем избавляется от него в ближайшей реке, болоте или озере. Более серьезно это - одно из серьезных оснований дать администраторам щедрое выходное пособие. Вы хотите, чтобы они чувствовали хорошо об отъезде как можно больше. Даже если они не должны чувствовать себя хорошо, кто заботится?, высосите его и сделайте их счастливыми. Притворитесь, что это - Ваш отказ и не их. Стоимость повышения затрат для страхования по безработице и пакета разрыва не выдерживает сравнение с ущербом, который они могли нанести. Это - все о пути наименьшего сопротивления и создающий как можно меньше драму.

100
ответ дан 28 November 2019 в 19:13

Обычно его довольно твердое...

но если это - веб-сайт, взгляните на код только позади кнопки Login.

Мы нашли, "если имя пользователя ='admin'" вводит вещь однажды...

1
ответ дан 28 November 2019 в 19:13

Если Вы не можете восстановить сервер, следующая лучшая вещь состоит в том, чтобы, вероятно, заблокировать вниз Ваши брандмауэры так, как Вы можете. Следуйте за каждым возможным входящим соединением и удостоверьтесь, что оно уменьшается до абсолютного минимума.

Измените все пароли.

Замените все ssh ключи.

2
ответ дан 28 November 2019 в 19:13

По-видимому, компетентный администратор где-нибудь по пути сделал то, что называют РЕЗЕРВНЫМ КОПИРОВАНИЕМ основной конфигурации системы. Также было бы безопасно предположить, что существуют резервные копии, сделанные с некоторым разумным уровнем частоты, позволяя, чтобы известное безопасное резервное копирование было восстановлено от.

Учитывая, что некоторые вещи действительно изменяются, это - хорошая идея работать от Вашего резервного копирования, виртуализированного, если это возможно, пока Вы не можете удостовериться, что основная установка не поставлена под угрозу.

Принятие худшего становится очевидным, Вы объединяете то, что Вы можете, и вход вручную остаток.

Я потрясен, никто не упомянул, что использовал безопасное резервное копирование до меня. Это означает, что я должен отправить свое резюме Вашим отделам кадров?

4
ответ дан 28 November 2019 в 19:13

Удалите все, запуститесь снова ;)

5
ответ дан 28 November 2019 в 19:13

Запишите его.... записывают все это.

Это - единственный способ быть уверенным.

Затем запишите все свои внешние интересы, доменных регистраторов, поставщиков платежа по кредитной карте партия.

Вообще-то, если задуматься возможно, легче попросить, чтобы любые помощники Bikie убедили человека, что это более здорово для них для не беспокойства Вас.

5
ответ дан 28 November 2019 в 19:13
  • 1
    А, большой. Таким образом, если администратор уволен, просто уничтожьте всю компанию в целом? Хорошо, позвольте мне объяснить это акционерам. –  Piskvor 25 August 2010 в 10:03

В сущности сделайте знание предыдущих людей IT бесполезным.

Измените все, что можно изменить, не влияя на инфраструктуру ИТ.

Изменение или разностороннее развитие поставщиков являются другой хорошей практикой.

0
ответ дан 28 November 2019 в 19:13
  • 1
    Поскольку поставщик мог быть другом или мог быть подключен к предыдущей команде IT. Если Вы сохраняете того же поставщика и изменяете все остальное, Вы рискуете сообщать старой команде IT и сделали все бесполезным. Я записал это на основе предыдущего опыта. –  lrosa 24 August 2010 в 20:32
  • 2
    Ну, если Вы не вручили свои закрытые ключи поставщику, не уверенному, что предыдущая команда IT имеет шанс выиграть этим: "Таким образом, как Вы говорите, Bob, они генерировали новые ключи, новые пароли, и закрыли весь доступ снаружи? Хм. [открывает ноутбук Mac, nmap выполнений; типы в течение двух секунд] хорошо, я нахожусь в". (CUT!) –  Piskvor 25 August 2010 в 10:09
  • 3
    Это не только вопрос доступа периметра, но и вопрос внутренней инфраструктуры ИТ. Скажите, что Вы хотите продолжить нападение на основе социальной инженерии: знание внутренней структуры очень удобно (правила Mitnick). –  lrosa 26 August 2010 в 16:33

Попытайтесь принять его точку зрения.

Вы знаете свою систему и то, что она делает. Итак, вы можете попытаться представить, что изобрели для подключения извне, даже если вы больше не системный администратор ...

В зависимости от того, как устроена сетевая инфраструктура и как все это работает, вы являетесь лучший человек, который может знать, что делать и где это может быть расположено.

Но, как вы, кажется, говорите от подопытного bofh , вам нужно искать везде ...

Отслеживание сети

] Поскольку основная цель - получить удаленный контроль над вашей системой через ваше интернет-соединение, вы можете посмотреть (даже заменить, потому что он тоже может быть поврежден !!) брандмауэр и попытаться идентифицировать каждый активное соединение.

Замена брандмауэра выиграна ' • Обеспечьте полную защиту, но убедитесь, что ничего не осталось скрытого. Поэтому, если вы следите за пакетами, пересылаемыми брандмауэром, вы должны видеть все, включая нежелательный трафик.

Вы можете использовать tcpdump для отслеживания всего (как это делают американские параноики;) и просматривать файл дампа с помощью расширенного инструмента, такого как wirehark . Потратьте немного времени, чтобы узнать, что это за команда (требуется 100 ГБ свободного места на диске): 

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Не доверяйте всему

Даже если вы что-то найдете, вы не будете уверены, что вас нашли совсем нехорошие вещи !

Наконец, вы не успокоитесь, пока не переустановите все (из надежных источников!)

Вы можете использовать tcpdump для отслеживания всего (как это делают американские параноики;) и просматривать файл дампа с помощью расширенного инструмента, такого как wirehark . Потратьте немного времени, чтобы узнать, что это за команда (требуется 100 ГБ свободного места на диске): 

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Не доверяйте всему

Даже если вы что-то найдете, вы не будете уверены, что вас нашли совсем нехорошие вещи !

Наконец, вы не успокоитесь, пока не переустановите все (из надежных источников!)

Вы можете использовать tcpdump для отслеживания всего (как это делают американские параноики;) и просматривать файл дампа с помощью расширенного инструмента, такого как wirehark . Потратьте немного времени, чтобы узнать, что это за команда (требуется 100 ГБ свободного места на диске): 

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Не доверяйте всему

Даже если вы что-то найдете, вы не будете уверены, что вас нашли совсем нехорошие вещи !

Наконец, вы не успокоитесь, пока не переустановите все (из надежных источников!)

3
ответ дан 28 November 2019 в 19:13

Теги

Похожие вопросы