Способность имеет невероятно богатый набор шаблонов поиска. В Вашем случае Вы захотите ~i
(для "установленного") и ~A
, как так:
aptitude search '~i ~Ajaunty-proposed'
Как пример, у меня есть несколько пакетов, установленных от 'выносливых бэкпортов':
$ aptitude search '~i ~Ahardy-backports' i A bacula-common - network backup, recovery and verification i bacula-fd - network backup, recovery and verification i A libsvn-perl - Perl bindings for Subversion i A libsvn1 - Shared libraries used by Subversion i rsync - fast remote file copy program (like rcp) i subversion - Advanced version control system $
Это действительно, действительно, действительно трудно. Это требует очень полного аудита. Если Вы очень уверены, что старый человек оставил что-то, что это пойдет бум или потребует их повторно нанимать, потому что они - единственный, кто может произвести огонь, то пора предположить, что Вы были базированы враждебной стороной. Рассматривайте это как группа хакеров вошло и украло материал, и необходимо вымыться после их путаницы. Поскольку вот что это значит.
Не легкий ни в малейшей степени, даже удаленно близко. Выравнивание по ширине расхода всего этого может быть действительно трудным без определенного доказательства, которое теперь - исключая администратором было на самом деле злым. Полнота вышеупомянутого даже не является выполнимой с активами компании, которые потребуют, чтобы консультанты по безопасности найма сделали часть этой работы.
Если фактическое зло обнаруживается, особенно если зло находится в некотором программном обеспечении, обученные специалисты по безопасности являются лучшими для определения ширины проблемы. Это - также точка, когда уголовное дело может начать создаваться, и Вы действительно хотите людей, которые обучены в обработке доказательства для выполнения этого анализа.
Но, действительно, как далеко необходимо пойти? Это - то, где управление рисками играет роль. Упрощенно, это - метод балансировки ожидаемого риска против потери. Системные администраторы делают это, когда мы решаем, какое удаленное местоположение мы хотим поместить резервные копии; сейф банка по сравнению с центром обработки данных из региона. Выяснение, для сколько из этого списка нужно следующее, является упражнением в управлении рисками.
В этом случае оценка запустится с нескольких вещей:
Решение о том, как далеко вниз вышеупомянутая кроличья нора для дайвинга будет зависеть от ответов на эти вопросы. Для стандартных администраторских отъездов, где ожидание зла является очень небольшим, не требуется полный цирк; изменение паролей администраторского уровня и повторный ввод любых стоящих внешним образом хостов SSH, вероятно, достаточны. Снова, корпоративное положение безопасности управления рисками определяет это.
Для администраторов, которые были завершены по причине или злу, неожиданно возник после их в других отношениях нормального отъезда цирк становится более необходимым. Худший вариант является параноидальным BOFH-типом, кто был уведомлен, что их положение будет сокращено через 2 недели, поскольку это дает им много времени для подготовки; при обстоятельствах как эти идея Kyle щедрого пакета разрыва может смягчить весь вид проблем. Даже параноики могут простить много грехов после того, как проверка, содержащая плату 4 месяцев, прибудет. Та проверка будет, вероятно, стоить меньше, чем стоимость консультантов по безопасности должна была выведать их зло.
Но в конечном счете, это сводится к стоимости определения, если зло было сделано по сравнению с потенциальной стоимостью какого-либо зла, на самом деле сделанного.
Удача, если он действительно знает что-нибудь и настроил что-нибудь заранее. Даже болван может назвать/послать по электронной почте/отправить факсом телекоммуникационную компанию с разъединениями или даже попросить, чтобы они выполнили полные тестовые шаблоны на схемах в течение дня.
Серьезно, показывая немного любви и некоторые главные на отъезде действительно уменьшают риск.
О, да, в случае, если они звонят для "получения пароля, или что-то" напоминает им о 1 099 уровнях и минута 1 часа и 100 путевых расходов на вызов независимо, если необходимо быть где-нибудь...
Эй, это совпадает с моим багажом! 1,2,3,4!
Я предлагаю, чтобы Вы запустили в периметре. Проверьте, что Ваши конфигурации брандмауэра удостоверяются, что у Вас нет неожиданных точек входа в сеть. Удостоверьтесь сеть, физически безопасная против него повторно вводящий и добирающийся доступ к любым компьютерам.
Проверьте, что у Вас есть полностью рабочие и restoreable резервные копии. Хорошие резервные копии помешают Вам освобождать данные, если он действительно сделает что-то разрушительное.
Проверка любых сервисов, которые разрешены через периметр и удостоверяются, что он был запрещен доступа. Удостоверьтесь, что те системы имеют в распоряжении хорошие механизмы входа работы.
В основном я сказал бы, что, если бы у Вас есть компетентный BOFH, Вы обречены... существует много способа установить бомбы, которые были бы не замечены. И если Ваша компания используется для извлечения "manu-вооруженных-сил" те, кто уволен, быть уверенным, что бомба будет заложена хорошо bofore временное увольнение!!!
Лучший способ состоит в том, чтобы минимизировать риски наличия сердитого администратора... Избегайте "временного увольнения для сокращения затрат" (если он будет компетентным и порочным BOFH, то убытки, которые можно потерпеть, вероятно, будут путем, больше, чем, что Вы получите от временного увольнения)... Если он сделал некоторую недопустимую ошибку, лучше сделать, чтобы он зафиксировал его (неоплаченный) как альтернатива временному увольнению... Он будет более благоразумным следующим разом, который не повторит ошибку (который будет увеличением его значения)... Но обязательно достигните хорошего целевого показателя (распространено, что некомпетентные люди с хорошей харизмой отклоняют свой собственный отказ к компетентному, но меньшему количеству социального).
И если Вы сталкиваетесь с истинным BOFH в худшем смысле (и что то поведение является причиной временного увольнения), Вы должны быть готовы переустановить с нуля всю систему, которой он был в контакте с (который будет, вероятно, означать каждый компьютер).
Не забывайте, что единственное разрядное изменение может заставить целую систему пойти опустошение... (setuid бит, Переход, если Несут к Переходу, если Никакие Не Несут...) и что даже инструменты компиляции, возможно, были поставлены под угрозу.
Проверьте вход в систему Ваши серверы (и компьютеры, они непосредственно продолжают работать). Не только ищите их учетную запись, но также и учетные записи, которые не являются известными администраторами. Ищите дыры в своих журналах. Если журнал событий был недавно очищен на сервере, это - подозреваемый.
Проверьте измененную дату на файлах на Ваших веб-серверах. Запустите быстрый скрипт, чтобы перечислить все недавно измененные файлы и рассмотреть их.
Проверьте последнее обновление дата на всей Вашей групповой политике и пользовательских объектах в AD.
Проверьте, что все Ваши резервные копии работают, и существующие резервные копии все еще существует.
Проверьте серверы, куда Вы выполняете Службы теневого копирования томов для предыдущей истории для пропавших без вести.
Я уже вижу много хороших перечисленных вещей и просто требуемых для добавления этих других вещей, которые можно быстро проверить. Это стоило бы того, чтобы сделать полный обзор всего. Но запустите с мест с новыми изменениями. Некоторые из этих вещей могут быть быстро проверены и могут повысить некоторые ранние красные флаги для выручения Вас.
Если Вы не действительно действительно параноики, затем мое предложение просто выполнило бы несколько инструментов сканирования TCP/IP (tcpview, wireshark и т.д.), чтобы видеть, существует ли что-нибудь подозрительная попытка связаться с внешним миром.
Измените пароли администратора и удостоверьтесь, что нет никаких 'дополнительных' учетных записей администратора, которые не должны быть там.
Кроме того, не забывайте изменять пароли беспроводного доступа и проверять Ваши настройки защитного программного обеспечения (AV и Брандмауэр в особенности)
Существует большой, который все не учли.
Помните, что нет просто систем.
Удостоверьтесь, что сказали всем в компании, после того как они уехали. Это устранит вектор атаки социальной инженерии. Если компания является крупной, то удостоверьтесь люди, которые должны знать, знать.
Если администратор был также ответственен за записанный код (корпоративный веб-сайт и т.д.) затем, необходимо будет сделать проверку соответствия программы спецификациям также.
Это ударяет меня, что проблема существует даже, прежде чем администратор уезжает. Это просто, что каждый замечает проблему больше в то время.
-> Каждому нужен процесс для аудита каждого изменения, и часть процесса - то, что изменения только применяются через него.
Умный BOFH мог сделать любое следующее:
Периодическая программа, которая инициирует netcat исходящее соединение на стандартном порте для взятия команд. Например, Порт 80. Если бы хорошо сделано назад и вперед трафик имел бы появление трафика для того порта. Таким образом, если бы на порте 80, это имело бы HTTP-заголовки, и полезная нагрузка была бы блоками, встроенными в изображения.
Апериодическая команда, которая смотрит в определенных местах для файлов для выполнения. Места могут быть на пользовательских компьютерах, сетевых компьютерах, дополнительных таблицах в базах данных, временных каталогах буферного файла.
Программы, которые проверяют, чтобы видеть, все еще ли один или несколько из других бэкдоров на месте. Если это не, то вариант на нем установлен, и детали, посланные по электронной почте к BOFH
С тех пор очень в способе резервных копий теперь сделан с диском, измените резервные копии для содержания по крайней мере некоторых корневых наборов.
Способы защитить себя от этого вида вещи:
Когда сотрудник класса BOFH уедет, установите новое поле в демилитаризованной зоне. Это получает копию всего трафика, передающего брандмауэр. Ищите аномалии в этом трафике. Последний нетривиален, особенно если BOFH способен имитировать нормальные шаблоны трафика.
Восстановите свои серверы так, чтобы критические двоичные файлы были сохранены на медиа только для чтения. Таким образом, если Вы хотите изменить/bin/ps, необходимо перейти к машине, физически переместить переключатель от RO до RW, отдельного пользователя перезагрузки, повторно смонтировать, что раздел rw, установите новую копию PS, синхронизации, перезагрузки, переключателя. Система, сделанная этот путь, имеет по крайней мере некоторые доверяемые программы и доверяемое ядро для того, чтобы сделать дальнейшую работу.
Конечно, при использовании окон Вы политы из шланга.
Способы предотвратить этот вид вещи.
Исследуйте заявителей тщательно.
Узнайте, сердят ли этих людей и решают проблемы персонала заранее.
Когда Вы увольняете администратора с этими видами полномочий, подслащивают круг:
a. Его зарплата или часть его зарплаты продолжаются сроком на время или пока нет существенное изменение в поведении системы, которое не объяснено штатом IT. Это могло быть на экспоненциальном распаде. Например, он получает полную плату в течение 6 месяцев, 80% из этого в течение 6 месяцев, 80 процентов из этого в течение следующих 6 месяцев.
b. Часть его платы в форме фондовых опционов, которые не вступают в силу в течение одного - пяти лет после того, как он уезжает. Эти опции не удалены, когда он уезжает. У него есть стимул удостовериться, что компания будет работать хорошо через 5 лет.
Хорошо управляемая инфраструктура будет иметь инструменты, контроль и средства управления на месте для большого предотвращения этого. Они включают:
Если эти инструменты будут существовать правильно, то у Вас будет журнал аудита. Иначе Вы оказываетесь перед необходимостью выполнять полный тест на проникновение.
Первый шаг должен был бы контролировать весь доступ и изменить все пароли. Внимание на внешний доступ и потенциальные точки входа - это - то, где Ваше время лучше всего проведено. Если внешнее место не выравнивается по ширине, устраните его или уменьшите его. Это позволит Вам время, чтобы сфокусироваться на большем количестве деталей внутренне. Знайте обо всем исходящем трафике также, поскольку программные решения могли передавать ограниченные данные внешне.
В конечном счете быть системным администратором и администратором сети предоставит полный доступ к большинству если не все вещи. С этим, прибывает высокая степень ответственности. Найм с этим уровнем ответственности не должен быть взят слегка, и шаги должны быть сделаны для уменьшения риска от запуска. Если бы профессионал нанят, даже уехав на плохих условиях, они не приняли бы меры, которые были бы непрофессиональными или недопустимыми.
Существует много подробных сообщений на Отказе сервера, которые касаются надлежащего системного аудита для безопасности, а также что сделать в случае чьего-то завершения. Эта ситуация не уникальна от тех.
Не забывайте подобных Teamviewer, LogmeIn, и т.д... Я знаю, что это было уже упомянуто, но аудит программного обеспечения (много приложений там) каждого сервера/рабочей станции не причинит боль, включая сканирования подсети (подсетей) со сценариями nmap NSE.
Первые вещи сначала - получают резервное копирование всего на удаленном устройстве хранения данных (например, лента или жесткий диск, который Вы разъединяете и оставляете про запас). Тот путь, если что-то злонамеренное происходит, Вы можете восстанавливаться немного.
Затем, прочешите свои правила брандмауэра. Должны быть закрыты любые подозрительные открытые порты. Если бы существует черный ход, затем предотвращающий доступ к нему, была бы хорошая вещь.
Учетные записи пользователей - ищут Вашего раздраженного пользователя и гарантируют, что их доступ удален как можно скорее. Если существуют ключи SSH или/etc/passwd файлы, или записи LDAP, даже .htaccess файлы, должны все быть просканированы.
На Ваших важных серверах ищут приложения и активные порты прослушивания. Удостоверьтесь, чтобы рабочие процессы, присоединенные к ним, казались разумными.
В конечном счете решительный раздраженный сотрудник может сделать что-либо - в конце концов, у них есть знание всех внутренних систем. Каждый надеется, что у них есть целостность для не принятия отрицательных мер.
Я сказал бы, что это - баланс того, сколько беспокойства Вы имеете по сравнению с деньгами, которые Вы готовы заплатить.
Очень соответствующий:
Если Вы являетесь очень соответствующими затем, можно хотеть нанять внешний консультант по безопасности, чтобы сделать полное сканирование всего и с внешней и с внутренней точки зрения. Если бы этот человек был особенно умен, то Вы могли бы быть в беде, у них могло бы быть что-то, что будет бездействовать некоторое время. Другая опция состоит в том, чтобы просто восстановить все. Это может звучать очень чрезмерным, но Вы изучите среду хорошо, и Вы делаете проект аварийного восстановления также.
Мягко затронутый:
Если Вы только мягко обеспокоены, что могли бы просто хотеть сделать:
Для будущего:
Продвижение, когда администратор уезжает, дает ему хорошую сторону и затем когда он выпитый просто предлагает ему, поездка домой - затем избавляется от него в ближайшей реке, болоте или озере. Более серьезно это - одно из серьезных оснований дать администраторам щедрое выходное пособие. Вы хотите, чтобы они чувствовали хорошо об отъезде как можно больше. Даже если они не должны чувствовать себя хорошо, кто заботится?, высосите его и сделайте их счастливыми. Притворитесь, что это - Ваш отказ и не их. Стоимость повышения затрат для страхования по безработице и пакета разрыва не выдерживает сравнение с ущербом, который они могли нанести. Это - все о пути наименьшего сопротивления и создающий как можно меньше драму.
Обычно его довольно твердое...
но если это - веб-сайт, взгляните на код только позади кнопки Login.
Мы нашли, "если имя пользователя ='admin'" вводит вещь однажды...
Если Вы не можете восстановить сервер, следующая лучшая вещь состоит в том, чтобы, вероятно, заблокировать вниз Ваши брандмауэры так, как Вы можете. Следуйте за каждым возможным входящим соединением и удостоверьтесь, что оно уменьшается до абсолютного минимума.
Измените все пароли.
Замените все ssh ключи.
По-видимому, компетентный администратор где-нибудь по пути сделал то, что называют РЕЗЕРВНЫМ КОПИРОВАНИЕМ основной конфигурации системы. Также было бы безопасно предположить, что существуют резервные копии, сделанные с некоторым разумным уровнем частоты, позволяя, чтобы известное безопасное резервное копирование было восстановлено от.
Учитывая, что некоторые вещи действительно изменяются, это - хорошая идея работать от Вашего резервного копирования, виртуализированного, если это возможно, пока Вы не можете удостовериться, что основная установка не поставлена под угрозу.
Принятие худшего становится очевидным, Вы объединяете то, что Вы можете, и вход вручную остаток.
Я потрясен, никто не упомянул, что использовал безопасное резервное копирование до меня. Это означает, что я должен отправить свое резюме Вашим отделам кадров?
Запишите его.... записывают все это.
Это - единственный способ быть уверенным.
Затем запишите все свои внешние интересы, доменных регистраторов, поставщиков платежа по кредитной карте партия.
Вообще-то, если задуматься возможно, легче попросить, чтобы любые помощники Bikie убедили человека, что это более здорово для них для не беспокойства Вас.
В сущности сделайте знание предыдущих людей IT бесполезным.
Измените все, что можно изменить, не влияя на инфраструктуру ИТ.
Изменение или разностороннее развитие поставщиков являются другой хорошей практикой.
Вы знаете свою систему и то, что она делает. Итак, вы можете попытаться представить, что изобрели для подключения извне, даже если вы больше не системный администратор ...
В зависимости от того, как устроена сетевая инфраструктура и как все это работает, вы являетесь лучший человек, который может знать, что делать и где это может быть расположено.
Но, как вы, кажется, говорите от подопытного bofh , вам нужно искать везде ...
] Поскольку основная цель - получить удаленный контроль над вашей системой через ваше интернет-соединение, вы можете посмотреть (даже заменить, потому что он тоже может быть поврежден !!) брандмауэр и попытаться идентифицировать каждый активное соединение.
Замена брандмауэра выиграна ' • Обеспечьте полную защиту, но убедитесь, что ничего не осталось скрытого. Поэтому, если вы следите за пакетами, пересылаемыми брандмауэром, вы должны видеть все, включая нежелательный трафик.
Вы можете использовать tcpdump
для отслеживания всего (как это делают американские параноики;) и просматривать файл дампа с помощью расширенного инструмента, такого как wirehark
. Потратьте немного времени, чтобы узнать, что это за команда (требуется 100 ГБ свободного места на диске):
tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &
Даже если вы что-то найдете, вы не будете уверены, что вас нашли совсем нехорошие вещи !
Наконец, вы не успокоитесь, пока не переустановите все (из надежных источников!)
Вы можете использовать tcpdump
для отслеживания всего (как это делают американские параноики;) и просматривать файл дампа с помощью расширенного инструмента, такого как wirehark
. Потратьте немного времени, чтобы узнать, что это за команда (требуется 100 ГБ свободного места на диске):
tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &
Даже если вы что-то найдете, вы не будете уверены, что вас нашли совсем нехорошие вещи !
Наконец, вы не успокоитесь, пока не переустановите все (из надежных источников!)
Вы можете использовать tcpdump
для отслеживания всего (как это делают американские параноики;) и просматривать файл дампа с помощью расширенного инструмента, такого как wirehark
. Потратьте немного времени, чтобы узнать, что это за команда (требуется 100 ГБ свободного места на диске):
tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &
Даже если вы что-то найдете, вы не будете уверены, что вас нашли совсем нехорошие вещи !
Наконец, вы не успокоитесь, пока не переустановите все (из надежных источников!)