Comment recherchez-vous les backdoors de la personne précédente informatique?

358

Nous savons tous que cela se produit. Un vieil homme informatique amer laisse une porte dérobée dans le système et le réseau afin de s’amuser avec les nouveaux employés et de montrer à la société à quel point les choses vont mal sans lui.

Je n'ai jamais personnellement vécu cela. Le plus que j'ai connu est quelqu'un qui a cassé et volé des choses juste avant de partir. Je suis sûr que cela arrive, cependant.

Ainsi, lors de la prise en charge d'un réseau sur lequel on ne peut pas vraiment faire confiance, quelles mesures faut-il prendre pour s'assurer que tout est sécurisé et sécurisé?

Jason Berg
la source
8
+1, j'aime cette question. C'est ce que je préfère le moins lorsque je traite avec un nouveau client, surtout si le dernier type est parti en mauvais termes.
DanBig
95
La plupart des endroits où je suis parti, le fait que je ne sois pas là en train de dire «Ne fais pas ça» est suffisant pour détruire le réseau. Je n'ai pas besoin de quitter les portes arrière.
Paul Tomblin
25
@ Paul, cela suggère que vous n'avez pas documenté correctement. Espérons que les nouvelles personnes fassent correctement cette partie de leur travail.
John Gardeniers
71
@ John, vos utilisateurs et vos collègues lisent-ils la documentation? Où puis-je en obtenir?
Paul Tomblin
18
@ Paul, les utilisateurs - non, pourquoi le devraient-ils? Collègues de travail (en supposant que vous voulez dire des informaticiens) - oui. La lecture de la documentation devrait être la première étape pour commencer un nouveau travail.
John Gardeniers

Réponses:

332

C'est vraiment, vraiment, vraiment difficile. Cela nécessite un audit très complet. Si vous êtes certain que la personne âgée laissera derrière elle quelque chose qui va exploser ou nécessitera sa réembauche car elle est la seule à pouvoir éteindre un incendie, il est temps de supposer que vous êtes enraciné fête hostile. Traitez-le comme si un groupe de pirates entraient et volaient des objets, et vous deviez nettoyer après leurs dégâts. Parce que c'est ce que c'est.

  • Auditez chaque compte sur chaque système pour vous assurer qu'il est associé à une entité spécifique.
    • Il faut se méfier des comptes qui semblent associés à des systèmes mais que personne ne peut comptabiliser.
    • Les comptes qui ne sont associés à rien doivent être purgés (ceci doit être fait de toute façon, mais c'est particulièrement important dans ce cas)
  • Changez tous les mots de passe avec lesquels ils pourraient éventuellement avoir été en contact.
    • Cela peut être un réel problème pour les comptes utilitaires, car ces mots de passe ont tendance à être codés en dur.
    • S'il s'agit d'un type de service d'assistance répondant aux appels des utilisateurs finaux, supposez qu'ils ont le mot de passe de toute personne qu'ils ont assistée.
    • S'ils ont eu l'administrateur d'entreprise ou l'administrateur de domaine dans Active Directory, supposons qu'ils ont récupéré une copie des hachages de mots de passe avant de partir. Celles-ci peuvent être craquées si rapidement maintenant qu'un changement de mot de passe à l'échelle de l'entreprise devra être forcé dans quelques jours.
    • S'ils ont un accès root à toutes les boîtes * nix, supposons qu'ils sont partis avec les mots de passe hachés.
    • Examinez l'utilisation de toutes les clés SSH de clés publiques pour vous assurer que leurs clés sont purgées et vérifiez si des clés privées ont été exposées pendant que vous y êtes.
    • S'ils avaient accès à un équipement de télécommunication, modifiez les mots de passe routeur / commutateur / passerelle / PBX. Cela peut être une douleur vraiment royale car cela peut impliquer des pannes importantes.
  • Auditez pleinement les dispositions de sécurité de votre périmètre.
    • Assurez-vous que tous les trous du pare-feu sont reliés aux périphériques et ports autorisés connus.
    • Assurez-vous qu'aucune authentification supplémentaire n'est ajoutée à toutes les méthodes d'accès à distance (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, etc.) et testez-les complètement pour les méthodes d'accès non autorisées.
    • Assurez-vous que les liens WAN distants sont bien liés aux personnes pleinement employées et le vérifier. Surtout les connexions sans fil. Vous ne voulez pas qu'ils partent avec un modem cellulaire ou un téléphone intelligent payé par l'entreprise. Contactez tous ces utilisateurs pour vous assurer qu'ils disposent du bon périphérique.
  • Auditer pleinement les accords internes d’accès privilégié. Ce sont des choses comme l'accès SSH / VNC / RDP / DRAC / iLO / IMPI aux serveurs que les utilisateurs généraux n'ont pas, ou tout accès à des systèmes sensibles comme la paie.
  • Travaillez avec tous les fournisseurs et prestataires de services externes pour vous assurer que les contacts sont corrects.
    • Assurez-vous qu'ils sont éliminés de toutes les listes de contacts et de services. Cela devrait être fait de toute façon après tout départ, mais c'est extrêmement important maintenant.
    • Valider tous les contacts sont légitimes et ont des informations de contact correctes, ceci est pour trouver des fantômes qui peuvent être imités.
  • Commencez à chercher des bombes logiques.
    • Vérifiez toute l’automatisation (planificateurs de tâches, tâches Cron, listes d’appel UPS ou tout ce qui se déroule selon un calendrier ou qui est déclenchée par un événement) à la recherche de signes de mal. Par "Tous" je veux dire tous. Vérifiez chaque crontab. Vérifiez chaque action automatisée de votre système de surveillance, y compris les sondes elles-mêmes. Vérifiez chaque planificateur de tâches Windows; même les postes de travail. Si vous ne travaillez pas pour le gouvernement dans un domaine extrêmement sensible, vous ne pourrez pas vous permettre "tout", faites-en autant que vous le pouvez.
    • Validez les fichiers binaires système clés sur chaque serveur pour vous assurer qu'ils correspondent à ce qu'ils devraient être. C'est délicat, en particulier sous Windows, et il est presque impossible de le faire rétroactivement sur des systèmes ponctuels.
    • Commencez à chercher des rootkits. Par définition, ils sont difficiles à trouver, mais il existe des scanners pour cela.

Pas facile du tout, pas même à distance. Justifier la dépense de tout cela peut être très difficile sans preuve définitive que l'administrateur maintenant ex-ex était en fait mauvais. La totalité de ce qui précède n’est même pas réalisable avec les actifs de la société, ce qui nécessitera l’embauche de consultants en sécurité pour effectuer une partie de ce travail.

Si le mal réel est détecté, en particulier si le mal réside dans une sorte de logiciel, les professionnels de la sécurité formés sont les meilleurs pour déterminer l'ampleur du problème. C'est aussi le moment où une affaire pénale peut commencer à être construite, et vous voulez vraiment que des personnes formées à la gestion des preuves procèdent à cette analyse.


Mais vraiment, jusqu'où devez-vous aller? C’est là que la gestion des risques entre en jeu. De manière simpliste, il s’agit de la méthode permettant d’équilibrer le risque attendu contre la perte. Les administrateurs système le font lorsque nous décidons quel emplacement hors site nous voulons mettre en place des sauvegardes; un coffre-fort bancaire par rapport à un centre de données hors région. Déterminer à quel point cette liste doit être suivie est un exercice de gestion des risques.

Dans ce cas, l’évaluation commencera par quelques points:

  • Le niveau de compétence attendu du défunt
  • L'accès des défunts
  • L'attente que le mal soit fait
  • Les dommages potentiels de tout mal
  • Exigences réglementaires en matière de signalement du mal perpétré ou du mal retrouvé par anticipation En règle générale, vous devez signaler l'ancien, mais pas le dernier.

La décision de plonger dans le lapin ci-dessus dépendra des réponses à ces questions. Pour les départs de routine d'administrateurs où l'attente du mal est très faible, le cirque complet n'est pas requis; changer les mots de passe de niveau administrateur et ressaisir tout hôte SSH externe est probablement suffisant. Encore une fois, la posture de sécurité de la gestion des risques de l'entreprise en est la cause.

Pour les administrateurs qui ont été congédiés pour un motif valable, ou le mal surgi après leur départ, qui est normalement normal, le cirque devient plus nécessaire. Le pire des scénarios est un type de BOFH paranoïaque qui a été averti que son poste serait licencié dans deux semaines, ce qui lui laisse suffisamment de temps pour se préparer. Dans de telles circonstances, l'idée de Kyle d'une généreuse indemnité de départ peut atténuer toutes sortes de problèmes. Même les paranoïaques peuvent pardonner beaucoup de péchés après qu’un chèque contenant 4 mois de salaire est arrivé. Ce contrôle coûtera probablement moins que le coût des consultants en sécurité nécessaires pour dénicher leur mal.

Mais en fin de compte, cela revient à déterminer si le mal a été fait par rapport au coût potentiel de tout mal réellement fait.

sysadmin1138
la source
22
+1 - L'état actuel des techniques d'audit des fichiers binaires du système est plutôt mauvais aujourd'hui. Les outils d'investigation informatique peuvent vous aider à vérifier les signatures sur les fichiers binaires, mais avec la prolifération de différentes versions binaires (en particulier sous Windows, quelles que soient les mises à jour mensuelles), il est assez difficile de trouver un scénario convaincant où vous pourriez approcher à 100% vérification binaire. (Je vous répondrais si je le pouvais, parce que vous avez très bien résumé le problème dans son ensemble. C'est un problème difficile, surtout s'il n'y avait pas de cloisonnement ni de séparation des tâches.)
Evan Anderson
2
+++ Re: changer les mots de passe du compte de service. Quoi qu'il en soit, cette procédure doit être documentée de manière approfondie. Ce processus est donc d'autant plus important si vous devez être en mesure de faire votre travail.
Kara Marfia
2
@ Joe H .: N'oubliez pas de vérifier le contenu de cette sauvegarde indépendamment de l'infrastructure de production. Le logiciel de sauvegarde pourrait être cloisonné. (Un de mes clients disposait d'un tiers avec une installation indépendante de leur application LOb. Celui-ci était chargé de restaurer les sauvegardes, de les charger dans l'application et de vérifier que les états financiers générés à partir de la sauvegarde correspondaient à ceux générés par le système de production. sauvage ...)
Evan Anderson
46
Très bonne réponse. En outre, n'oubliez pas de supprimer l'employé qui est parti en tant que point de contact autorisé pour les fournisseurs de services et les fournisseurs. Registres de domaine. Les fournisseurs de services internet. Entreprises de télécommunications. Assurez-vous que toutes ces parties externes reçoivent le message que l'employé n'est plus autorisé à apporter des modifications ni à discuter des comptes de l'entreprise.
Mox
2
"L'intégralité de ce qui précède peut même ne pas être réalisable avec les actifs de l'entreprise, ce qui nécessitera l'embauche de consultants en sécurité pour effectuer une partie de ce travail." - bien sûr, c'est peut-être cette exposition qui conduit à des compromis. Ce niveau de vérification nécessite un accès extrêmement faible système de niveau - et par des personnes qui savent comment cacher les choses.
MightyE
100

Je dirais que c'est un équilibre entre votre inquiétude et l'argent que vous êtes prêt à payer.

Très préoccupé:
si vous êtes très préoccupé, vous pouvez faire appel à un consultant en sécurité externe pour procéder à une analyse complète de tout, du point de vue externe et interne. Si cette personne était particulièrement intelligente, vous pourriez avoir des problèmes, elle pourrait avoir quelque chose qui sera en sommeil pendant un certain temps. L'autre option consiste à tout reconstruire. Cela peut sembler excessif, mais vous apprendrez bien l’environnement et vous ferez également un projet de reprise après sinistre.

Légèrement préoccupé:
Si vous êtes seulement légèrement inquiet, vous voudrez peut-être simplement faire:

  • Un scan de port de l'extérieur.
  • Virus / Spyware Scan. Analyse des rootkits pour les machines Linux.
  • Examinez la configuration du pare-feu pour tout ce que vous ne comprenez pas.
  • Modifiez tous les mots de passe et recherchez les comptes inconnus (assurez-vous qu'ils n'ont pas activé quelqu'un qui n'est plus avec la société afin qu'ils puissent l'utiliser, etc.).
  • Cela pourrait également être un bon moment pour envisager l’installation d’un système de détection d’intrusion (IDS).
  • Surveillez les journaux de plus près que d'habitude.

Pour l'avenir: à partir du
moment où un administrateur le quittera, organisez-lui une belle fête, puis une fois qu'il est saoul, proposez-lui de la ramener chez lui - puis jetez-le dans la rivière, le marais ou le lac le plus proche. Plus sérieusement, c’est l’une des bonnes raisons de donner aux administrateurs une généreuse indemnité de départ. Vous voulez qu'ils se sentent d'accord pour quitter autant que possible. Même s'ils ne doivent pas se sentir bien, qui s'en soucie?, Absorbez-les et rendez-les heureux. Imaginez que c'est de votre faute et non de la leur. Le coût d'une augmentation des coûts de l'assurance-chômage et de l'indemnité de licenciement ne se compare pas aux dommages qu'ils pourraient causer. Il s’agit de la voie de la moindre résistance et de la création du moins de drame possible.

Kyle Brandt
la source
1
Les réponses qui n'incluent pas le meurtre seraient probablement préférées :-)
Jason Berg
4
+1 pour la suggestion BOFH.
Jscott
5
@Kyle: C'était supposé être notre petit secret ...
GregD
4
Interrupteurs homme mort, Kyle. Nous les mettons là au cas où nous partons pendant un moment :) Par "nous", je veux dire, euh, ils?
Bill Weiss
12
+1 - C'est une réponse pratique, et j'aime la discussion basée sur une analyse risque / coût (parce que c'est ce que c'est). La réponse de Sysadmin1138 est un peu plus complète en ce qui concerne "le caoutchouc à la route", mais ne rentre pas nécessairement dans l'analyse risque / coût et dans le fait que, la plupart du temps, il est nécessaire de mettre certaines hypothèses de côté, éloigné". (C'est peut-être une mauvaise décision, mais personne n'a un temps / argent infini.)
Evan Anderson
20

N'oubliez pas les goûts de Teamviewer, LogmeIn, etc. Je sais que cela a déjà été mentionné, mais un audit de logiciel (de nombreuses applications existantes) de chaque serveur / poste de travail ne serait pas préjudiciable, y compris les analyses de sous-réseau avec nmap. Scripts NSE.

Mars
la source
18

Tout d'abord, commencez par obtenir une sauvegarde de tout ce qui se trouve sur un stockage hors site (par exemple, une bande ou un disque dur que vous avez déconnecté et mis en stockage). De cette façon, si quelque chose de malicieux se produit, vous pourrez peut-être en récupérer un peu.

Ensuite, parcourez les règles de votre pare-feu. Tous les ports ouverts suspects doivent être fermés. S'il y a une porte arrière, alors en empêcher l'accès serait une bonne chose.

Comptes d'utilisateurs - recherchez votre utilisateur mécontent et assurez-vous que son accès est supprimé dès que possible. S'il existe des clés SSH ou des fichiers / etc / passwd, ou des entrées LDAP, même des fichiers .htaccess, elles doivent toutes être analysées.

Sur vos serveurs importants, recherchez des applications et des ports d'écoute actifs. Assurez-vous que les processus en cours qui y sont attachés semblent raisonnables.

En fin de compte, un employé mécontent déterminé peut tout faire. Après tout, il connaît tous les systèmes internes. On espère qu’ils ont l’intégrité de ne pas prendre de mesures négatives.

PP.
la source
1
les sauvegardes peuvent également être importantes si quelque chose se produit et que vous décidez de suivre la voie de la poursuite. Vous voudrez peut-être connaître les règles de traitement des preuves et vous assurer de les suivre au cas où.
Joe H.
3
Mais n'oubliez pas que ce que vous venez de sauvegarder peut inclure des applications / config / données enracinées, etc.
Shannon Nelson
Si vous avez des sauvegardes d'un système enraciné, vous avez des preuves.
XTL
17

Une infrastructure bien gérée va disposer des outils, de la surveillance et des contrôles pour empêcher cela dans une large mesure. Ceux-ci inclus:

Si ces outils sont en place correctement, vous aurez une piste d'audit. Sinon, vous devrez effectuer un test de pénétration complet .

La première étape consisterait à vérifier tous les accès et à modifier tous les mots de passe. Concentrez-vous sur l'accès externe et les points d'entrée potentiels - c'est l'endroit où votre temps est le mieux utilisé. Si l'empreinte externe n'est pas justifiée, éliminez-la ou réduisez-la. Cela vous laissera du temps pour vous concentrer sur plus de détails en interne. Tenez également compte de tout le trafic sortant, car les solutions programmatiques pourraient transférer des données restreintes en externe.

En fin de compte, être administrateur de systèmes et de réseau permettra un accès complet à la plupart sinon à toutes les choses. Avec cela, vient un haut degré de responsabilité. Embaucher avec ce niveau de responsabilité ne doit pas être pris à la légère et des mesures doivent être prises pour minimiser les risques dès le début. Si un professionnel est embauché, même en partant dans de mauvaises conditions, il ne prendrait aucune mesure qui ne soit ni professionnelle ni illégale.

Server Fault contient de nombreux articles détaillés traitant de l'audit système correct pour des raisons de sécurité ainsi que des mesures à prendre en cas de résiliation. Cette situation n'est pas unique parmi celles-ci.

Warner
la source
16

Un BOFH intelligent pourrait effectuer l’une des tâches suivantes:

  1. Programme périodique qui initie une connexion sortante Netcat sur un port bien connu pour prendre des commandes. Par exemple, le port 80. Si bien fait, le trafic en va-et-vient aurait l'apparence du trafic pour ce port. Donc, si sur le port 80, il aurait des en-têtes HTTP et les données utiles seraient des morceaux incorporés dans des images.

  2. Commande apériodique qui recherche dans des emplacements spécifiques les fichiers à exécuter. Les emplacements peuvent être situés sur des ordinateurs d'utilisateurs, des ordinateurs de réseau, des tables supplémentaires dans des bases de données, des répertoires de fichiers spool temporaires.

  3. Programmes qui vérifient si un ou plusieurs des autres portes dérobées sont toujours en place. Si ce n'est pas le cas, une variante est installée et les détails sont envoyés par courrier électronique à BOFH.

  4. Étant donné que les sauvegardes sont en grande partie effectuées avec le disque, modifiez-les pour qu'elles contiennent au moins une partie de vos root kits.

Façons de vous protéger de ce genre de chose:

  1. Lorsqu'un employé de la classe BOFH quitte son poste, installez une nouvelle boîte dans la zone démilitarisée. Il reçoit une copie de tout le trafic passant par le pare-feu. Rechercher des anomalies dans ce trafic. Ce dernier point n’est pas anodin, en particulier si le BOFH imite bien les modèles de trafic normaux.

  2. Refaites vos serveurs afin que les fichiers binaires critiques soient stockés sur un support en lecture seule. Autrement dit, si vous souhaitez modifier / bin / ps, vous devez accéder à la machine, déplacer physiquement un commutateur de RO à RW, redémarrer un utilisateur unique, remonter cette partition rw, installer votre nouvelle copie de ps, synchroniser, redémarrer, etc. interrupteur à bascule. Un système réalisé de cette manière a au moins quelques programmes approuvés et un noyau approuvé pour continuer le travail.

Bien sûr, si vous utilisez Windows, vous êtes fatigué.

  1. Compartimentez votre infrastructure. Pas raisonnable avec les petites et moyennes entreprises.

Moyens d'éviter ce genre de chose.

  1. Vet candidats avec soin.

  2. Déterminez si ces personnes sont mécontentes et résolvez les problèmes de personnel à l’avance.

  3. Lorsque vous renvoyez un administrateur doté de ces pouvoirs, vous adoucissez la tarte:

    une. Son salaire, ou une fraction de son salaire, est maintenu pendant un certain temps ou jusqu'à ce que le comportement du système, inexpliqué par le personnel informatique, change considérablement. Cela pourrait être sur une décroissance exponentielle. Par exemple , il reçoit un salaire complet pendant 6 mois, 80% de 6 mois, 80 pour cent de ce que pour les 6 prochains mois.

    b. Une partie de son salaire prend la forme d’options d’achat d’actions qui ne prennent effet que pendant un à cinq ans après son départ. Ces options ne sont pas supprimées lors de son départ. Il est incité à s'assurer que la société fonctionnera bien dans 5 ans.

sysadmin1138
la source
1
WTF est un BOFH ??
Chloé
Chloe, BOFH est l'abréviation de Bastard Operator from Hell, le sysadmin emblématique sociopathe paranoïde-délirant meglomaniacal que les informaticiens qui passent trop de temps à ramasser la souris de quelqu'un rêvent de devenir. Il y a une série d'histoires à l'origine posées sur alt.sysadmin.recovery à l' adresse bofh.ntk.net/Bastard.html en.wikipedia.org/wiki/Bastard_Operator_From_Hell
Stephanie
1
Plus votre score ServerFault est élevé, plus vos chances d'être un BOFH sont grandes :-)
dimanche
"Bien sûr, si vous utilisez Windows, vous êtes fatigué." Je veux ça sur mon mur.
programmer5000
13

Il me semble que le problème existe même avant le départ de l'administrateur. C'est juste que l'on remarque le problème plus à ce moment-là.

-> Il faut un processus pour vérifier chaque changement, et une partie du processus est que les changements ne sont appliqués qu’au travers de celui-ci.

Stephan Wehner
la source
5
Je suis curieux de savoir comment vous appliquez ce type de processus?
M. Brillant et New安宇
C'est assez difficile à faire dans une petite entreprise (c'est-à-dire 1 à 2 personnes de type administrateur système)
bip bip
C'est pénible à appliquer, mais c'est exécutoire. L'une des règles de base est que personne ne se connecte à une boîte et ne l'administre, même par le biais de sudo. Les modifications doivent passer par un outil de gestion de la configuration ou doivent avoir lieu dans le contexte d'un événement de type Firecall. Chaque modification de routine apportée aux systèmes doit passer par marionnette, cfengine, chef ou un outil similaire. L'ensemble du travail de vos administrateurs système doit exister en tant que référentiel de ces scripts contrôlé par la version.
Stephanie
12

Assurez-vous de le dire à tous les membres de l'entreprise une fois qu'ils sont partis. Cela éliminera le vecteur d'attaque d'ingénierie sociale. Si l'entreprise est grande, assurez-vous que les personnes qui ont besoin de savoir, savent.

Si l'administrateur était également responsable du code écrit (site Web d'entreprise, etc.), vous devrez également procéder à un audit du code.


la source
12

Il y en a un grand que tout le monde a laissé de côté.

Rappelez-vous qu'il n'y a pas que des systèmes.

  • Les vendeurs savent-ils que cette personne ne fait pas partie du personnel et ne devrait pas être autorisée à y accéder (colo, telco)
  • Existe-t-il des services hébergés externes pouvant avoir des mots de passe distincts (Exchange, Crm)?
  • Pourraient-ils avoir du chantage sur les choses de toute façon (bon ça commence à atteindre un peu ...)
LapTop006
la source
9

À moins que vous ne soyez vraiment paranoïaque, ma suggestion serait simplement d'exécuter plusieurs outils d'analyse TCP / IP (tcpview, wirehark, etc.) pour voir s'il y a quelque chose de suspect qui tente de contacter le monde extérieur.

Changez les mots de passe de l'administrateur et assurez-vous qu'il n'y a pas de compte d'administrateur 'supplémentaire' qui ne doit pas nécessairement s'y trouver.

N'oubliez pas non plus de modifier les mots de passe d'accès sans fil et de vérifier les paramètres de votre logiciel de sécurité (notamment les pare-feu et pare-feu).

Emtunc
la source
+1 pour changer les mots de passe administrateur
PP.
5
Ok , mais méfiez - vous d'écouter passivement des trucs bizarres parce que vous pourriez quand ce CLIGNOTANT TRUNCATE TABLE customerest exécuté: P
Khai
S'il existe un rootkit, il peut être attentif aux modifications apportées au mot de passe.
XTL
9

Consultez les journaux sur vos serveurs (et les ordinateurs sur lesquels ils travaillent directement). Recherchez non seulement leur compte, mais aussi les comptes qui ne sont pas des administrateurs connus. Rechercher des trous dans vos journaux. Si un journal des événements a été récemment effacé sur un serveur, cela est suspect.

Vérifiez la date de modification sur les fichiers de vos serveurs Web. Exécutez un script rapide pour répertorier tous les fichiers récemment modifiés et les examiner.

Vérifiez la dernière date de mise à jour de tous vos objets de stratégie de groupe et d'utilisateur dans AD.

Vérifiez que toutes vos sauvegardes fonctionnent et que les sauvegardes existantes existent toujours.

Vérifiez les serveurs sur lesquels vous exécutez les services de cliché instantané de volumes pour vous assurer que l'historique précédent est absent.

Je vois déjà beaucoup de bonnes choses énumérées et je voulais juste ajouter ces autres choses que vous pouvez vérifier rapidement. Il serait utile de faire un examen complet de tout. Mais commençons par les lieux avec les modifications les plus récentes. Certaines de ces choses peuvent être rapidement vérifiées et peuvent vous faire prendre conscience des premiers signes avant-coureurs.


la source
7

Fondamentalement, je dirais que si vous êtes un BOFH compétent, vous êtes condamné ... Il existe de nombreuses façons d'installer des bombes qui seraient inaperçues. Et si votre société a l'habitude d'expulser les "manu-militaires" de ceux qui sont licenciés, assurez-vous que la bombe sera posée bien avant la mise à pied !!!

Le meilleur moyen est de minimiser les risques d'avoir un administrateur en colère ... Évitez la "réduction des coûts de mise à pied" (s'il est un BOFH compétent et vicieux, les pertes que vous pourriez subir seront probablement bien plus importantes que ce que vous obtiendrez le licenciement) ... S'il commet une erreur inacceptable, il est préférable de le réparer (impayé) au lieu de le licencier ... Il sera plus prudent la prochaine fois pour ne pas répéter l'erreur (ce qui sera une augmentation dans sa valeur) ... Mais assurez-vous de frapper la bonne cible (il est fréquent que des personnes peu compétentes avec un bon charisme rejettent leur propre faute à une personne compétente mais moins sociale).

Et si vous faites face à une véritable BOFH dans le pire sens du terme (et que ce comportement est la raison de la mise à pied), vous feriez mieux de vous préparer à réinstaller à partir de zéro tout le système avec lequel il a été en contact (ce qui signifiera probablement chaque ordinateur).

N'oubliez pas qu'un seul changement peut bouleverser tout le système ... (bit setuid, Sauter si Carry to Jump si non Carry, ...) et que même les outils de compilation ont pu être compromis.


la source
7

Bonne chance s'il sait vraiment quoi que ce soit et qu'il prépare quoi que ce soit d'avance. Même un interrupteur peut appeler / envoyer un e-mail / faxer la compagnie de téléphone déconnectée ou même leur demander d'exécuter des tests complets sur les circuits pendant la journée.

Sérieusement, en montrant un peu d'amour et quelques grands au départ diminue vraiment le risque.

Oh oui, au cas où ils appellent pour "obtenir un mot de passe ou quelque chose", rappelez-leur votre tarif 1099 et les frais de déplacement d'une heure et de 100 minutes par appel, que vous soyez n'importe où ...

Hé, c'est pareil que mes bagages! 1,2,3,4!


la source
7

Je vous suggère de commencer par le périmètre. Vérifiez les configurations de votre pare-feu et assurez-vous de ne pas avoir de points d'entrée inattendus sur le réseau. Assurez-vous que le réseau est physiquement sécurisé contre toute tentative de rentrée et d'accès à tout ordinateur.

Vérifiez que vous avez des sauvegardes entièrement fonctionnelles et restaurables. De bonnes sauvegardes vous empêcheront de perdre des données s'il fait quelque chose de destructeur.

Vérifiez tous les services autorisés à travers le périmètre et assurez-vous que l'accès lui a été refusé. Assurez-vous que ces systèmes disposent de bons mécanismes de journalisation en place.

Zoredache
la source
5

Supprimer tout, recommencer;)

dmp
la source
1
+1 - Si un serveur est compromis au niveau de la racine, vous devez recommencer à zéro. Si le dernier administrateur n'a pas pu être approuvé, supposez un compromis au niveau de la racine.
James L
2
Eh bien ... Oui ... La meilleure solution ... Aussi difficile à convaincre la direction de tout refaire. Active Directory. Échange. SQL. Sharepoint. Même pour 50 utilisateurs, ce n'est pas une mince tâche… encore moins quand c'est pour plus de 300 utilisateurs.
Jason Berg
@danp: Heck oui, payer des heures supplémentaires et pas de week-end OFF. :(
jscott
1
aww, les administrateurs système étant misérables, qui auraient pu prédire: p
dmp
2
aww, les administrateurs système étant raisonnable, qui aurait pu prédire. Bien que votre idée ait du mérite technique, elle est rarement pratique ou réalisable.
John Gardeniers
5

Brûlez-le… brûlez tout.

C'est le seul moyen d'être sûr.

Ensuite, gravez tous vos intérêts externes, bureaux d’enregistrement de domaine, fournisseurs de paiement par carte de crédit.

À bien y penser, il est peut-être plus facile de demander à un ami Bikie de convaincre la personne qu'il est en meilleure santé de ne pas vous déranger.


la source
1
Eh, génial. Donc, si un administrateur est licencié, il suffit d'effacer toute la société? Ok, laissez-moi expliquer cela aux actionnaires.
Piskvor
2
le seul moyen de s'en assurer est de le détruire en orbite
Hubert Kario
4

Vraisemblablement, un administrateur compétent quelque part en cours de route a effectué ce qu'on appelle une sauvegarde de la configuration du système de base. Il serait également prudent de supposer que des sauvegardes sont effectuées à un niveau de fréquence raisonnable, ce qui permet de restaurer une sauvegarde sécurisée connue.

Étant donné que certaines choses ne changent, il est une bonne idée de courir à partir de votre sauvegarde virtualisé , si possible , jusqu'à ce que vous pouvez assurer l'installation primaire ne soit pas compromise.

En supposant que le pire devienne évident, vous fusionnez ce que vous pouvez et entrez manuellement le reste.

Je suis choqué que personne n'ait mentionné l'utilisation d'une sauvegarde en toute sécurité avant moi. Est-ce que cela signifie que je devrais soumettre mon CV à vos départements RH?


la source
Quelle sauvegarde sécurisée? Un administrateur maléfique et maléfique aura installé la porte dérobée il y a deux ans.
Jakob Borg le
Sauvegarde des données mortes et procédure d'installation pour les exécutables à partir de sources immaculées. En outre, les sauvegardes d'une porte dérobée en sont la preuve.
XTL
3

Essayez de prendre son point de vue.

Vous connaissez votre système et ce qu'il fait. Vous pouvez donc essayer d'imaginer ce qui pourrait être inventé pour se connecter de l'extérieur, même lorsque vous n'êtes plus administrateur système ...

En fonction de l’infrastructure réseau et du fonctionnement de cette dernière, vous êtes la meilleure personne pour savoir quoi faire et où cela se trouve.

Mais comme vous semblez parler d'un bofh expérimenté , vous devez chercher un peu partout ...

Suivi de réseau

L'objectif principal étant de prendre le contrôle à distance de votre système, via votre connexion Internet, vous pouvez regarder (même remplacer parce que cela pourrait être corrompu aussi !!) le pare-feu et essayer d'identifier chaque connexion active.

Le remplacement du pare-feu n'assurera pas une protection complète mais veillera à ce que rien ne soit caché. Donc, si vous surveillez les paquets transmis par le pare-feu, vous devez tout voir, y compris le trafic indésirable.

Vous pouvez utiliser tcpdumppour tout suivre (comme le fait les États-Unis;) et parcourir le fichier de vidage avec un outil avancé comme wireshark. Prenez le temps de voir ce que cette commande (besoin de 100 Go d’espace libre sur le disque):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Ne pas faire confiance à tout

Même si vous trouvez quelque chose, vous ne saurez pas si vous avez trouvé des mauvaises choses!

Enfin, vous ne serez pas vraiment calme avant que vous ayez été réinstallée tout ( à partir de sources de confiance!)

F. Hauri
la source
2

Si vous ne pouvez pas refaire le serveur, la meilleure chose à faire est probablement de verrouiller autant que possible vos pare-feu. Suivez chaque connexion entrante possible et assurez-vous qu'elle est réduite au minimum absolu.

Changer tous les mots de passe.

Remplacez toutes les clés SSH.

Wolfgangsz
la source
1

Généralement c'est assez difficile ...

mais si c'est un site Web, regardez le code juste derrière le bouton de connexion.

Nous avons trouvé une chose de type "if username = 'admin'" une fois ...

Mark Redman
la source
0

Essentiellement, valoriser les connaissances des précédents informaticiens.

Changez tout ce que vous pouvez changer sans impact sur l’infrastructure informatique.

Changer ou diversifier les fournisseurs est une autre bonne pratique.

lrosa
la source
1
Je ne comprends pas la pertinence des fournisseurs par rapport à la question.
John Gardeniers
Parce que le fournisseur peut être un ami ou être connecté à l’équipe informatique précédente. Si vous conservez le même fournisseur et changez tout le reste, vous risquez d'informer l'ancienne équipe informatique et de rendre tout inutile. J'ai écrit cela sur la base de l'expérience précédente.
lrosa
Eh bien, à moins que vous ayez remis vos clés privées au fournisseur, vous ne savez pas vraiment ce que l'équipe informatique précédente a à gagner: "Alors, comme vous le dites, Bob, ils ont généré de nouvelles clés, de nouveaux mots de passe et fermé tous les accès de l'extérieur? Hmm. [Ouvre un ordinateur portable Mac, lance nmap; tape pendant deux secondes] Ok, je suis partant. " (CUT!)
Piskvor
Ce n’est pas seulement une question d’accès périmétrique, mais aussi d’infrastructure informatique interne. Supposons que vous souhaitiez poursuivre une attaque basée sur l'ingénierie sociale: connaître la structure interne est très pratique (règles de Mitnick).
lrosa