Wie suchen Sie nach Hintertüren der vorherigen IT-Person?

358

Wir alle wissen, dass es passiert. Ein bitterer alter IT-Typ hinterlässt eine Hintertür in das System und das Netzwerk, um Spaß mit den neuen Männern zu haben und dem Unternehmen zu zeigen, wie schlimm die Dinge ohne ihn sind.

Das habe ich persönlich noch nie erlebt. Das meiste, was ich erlebt habe, war jemand, der kurz vor seiner Abreise Sachen kaputt gemacht und gestohlen hat. Ich bin mir aber sicher, dass das passiert.

Wenn Sie also ein nicht ganz vertrauenswürdiges Netzwerk übernehmen, welche Schritte sollten Sie unternehmen, um sicherzustellen, dass alles sicher und geschützt ist?

Jason Berg
quelle
8
+1, ich mag diese Frage. Es ist meine unbeliebteste Sache, wenn ich mit einem neuen Kunden zu tun habe, besonders wenn der letzte schlecht abgereist ist.
DanBig
95
Die meisten Orte, die ich verlassen habe, reichen aus, wenn ich nicht da bin und "Tu das nicht" sage, um das Netzwerk herunterzufahren. Ich muss nicht die Hintertüren verlassen.
Paul Tomblin
25
@ Paul, das deutet darauf hin, dass Sie nicht richtig dokumentiert haben. Hoffen wir, dass die neuen Personen diesen Teil ihrer Arbeit ordnungsgemäß erledigen.
John Gardeniers
71
@ John, Ihre Benutzer und Mitarbeiter lesen Dokumentation? Wo kann ich welche bekommen?
Paul Tomblin
18
@Paul, Benutzer - nein, warum sollten sie? Mitarbeiter (vorausgesetzt, Sie meinen IT-Mitarbeiter) - ja. Das Lesen der Dokumente sollte der erste Schritt beim Starten eines neuen Jobs sein.
John Gardeniers

Antworten:

332

Es ist wirklich sehr, sehr, sehr schwer. Es erfordert eine sehr vollständige Prüfung. Wenn Sie sehr sicher sind, dass die alte Person etwas zurückgelassen hat, das den Boom auslöst, oder wenn sie eine Neueinstellung benötigt, weil sie die einzige Person sind, die ein Feuer löschen kann, ist es Zeit anzunehmen, dass Sie von einem verwurzelt wurden feindliche Partei. Behandle es so, als ob eine Gruppe von Hackern hereinkäme und Sachen gestohlen hätte, und du musst nach ihrem Durcheinander aufräumen. Weil es so ist.

  • Überprüfen Sie jedes Konto auf jedem System, um sicherzustellen, dass es einer bestimmten Entität zugeordnet ist.
    • Konten, die anscheinend mit Systemen verknüpft sind, für die jedoch niemand Rechenschaft ablegen kann, sind zu misstrauen.
    • Konten, die mit nichts verknüpft sind, müssen gelöscht werden (dies muss auf jeden Fall erfolgen, ist jedoch in diesem Fall besonders wichtig).
  • Ändern Sie alle Passwörter, mit denen sie möglicherweise in Kontakt gekommen sind.
    • Dies kann ein echtes Problem für Dienstprogrammkonten sein, da diese Kennwörter dazu neigen, in bestimmte Dinge festgeschrieben zu werden.
    • Wenn es sich um einen Helpdesk-Typ handelt, der auf Anrufe von Endbenutzern reagiert, gehen Sie davon aus, dass er über das Kennwort aller von ihm unterstützten Personen verfügt.
    • Wenn Enterprise Admin oder Domain Admin zu Active Directory gehörten, gehen Sie davon aus, dass sie eine Kopie der Kennwort-Hashes abgerufen haben, bevor sie abgereist sind. Diese können jetzt so schnell geknackt werden, dass eine unternehmensweite Passwortänderung innerhalb weniger Tage erzwungen werden muss.
    • Wenn sie root-Zugriff auf * nix-Boxen hatten, gehen sie davon aus, dass sie die Kennwort-Hashes verwendet haben.
    • Überprüfen Sie die Verwendung aller SSH-Schlüssel mit öffentlichem Schlüssel, um sicherzustellen, dass deren Schlüssel gelöscht werden, und prüfen Sie, ob private Schlüssel verfügbar waren, während Sie gerade dabei sind.
    • Wenn sie Zugriff auf Telekommunikationsgeräte hatten, ändern Sie die Kennwörter für Router, Switches, Gateways und TK-Anlagen. Dies kann sehr schmerzhaft sein, da es zu erheblichen Ausfällen kommen kann.
  • Überprüfen Sie Ihre Perimeter-Sicherheitsvorkehrungen vollständig.
    • Stellen Sie sicher, dass alle Firewall-Lücken auf bekannte autorisierte Geräte und Ports zurückzuführen sind.
    • Stellen Sie sicher, dass für alle RAS-Methoden (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail usw.) keine zusätzliche Authentifizierung aktiviert ist, und überprüfen Sie sie vollständig auf nicht autorisierte Zugriffsmethoden.
    • Stellen Sie sicher, dass Remote-WAN-Verbindungen zu vollbeschäftigten Personen zurückverfolgt werden, und überprüfen Sie diese. Besonders kabellose Verbindungen. Sie möchten nicht, dass sie mit einem firmenbezahlten Mobilfunkmodem oder Smartphone davonlaufen. Wenden Sie sich an alle diese Benutzer, um sicherzustellen, dass sie das richtige Gerät haben.
  • Vollständige Prüfung der internen Zugriffsrechte. Dies sind Dinge wie SSH- / VNC- / RDP- / DRAC- / iLO- / IMPI-Zugriff auf Server, die allgemeine Benutzer nicht haben, oder Zugriff auf vertrauliche Systeme wie die Gehaltsabrechnung.
  • Arbeiten Sie mit allen externen Anbietern und Dienstleistern zusammen, um sicherzustellen, dass die Kontakte korrekt sind.
    • Stellen Sie sicher, dass sie aus allen Kontakt- und Servicelisten entfernt werden. Dies sollte ohnehin nach jedem Abflug erfolgen, ist aber jetzt besonders wichtig.
    • Vergewissern Sie sich, dass alle Kontakte legitim sind und über die richtigen Kontaktinformationen verfügen. Auf diese Weise finden Sie Geister, die sich als solche ausgeben können.
  • Fang an, nach Logikbomben zu suchen.
    • Prüfen Sie die gesamte Automatisierung (Aufgabenplaner, Cron-Jobs, UPS-Abruflisten oder alles, was nach einem Zeitplan abläuft oder durch Ereignisse ausgelöst wird) auf Anzeichen von Übel. Mit "Alle" meine ich alle. Überprüfen Sie jede einzelne Crontab. Überprüfen Sie jede einzelne automatisierte Aktion in Ihrem Überwachungssystem, einschließlich der Sonden selbst. Überprüfen Sie jeden einzelnen Windows-Taskplaner. sogar Arbeitsstationen. Wenn Sie nicht in einem hochsensiblen Bereich für die Regierung arbeiten, können Sie sich nicht "alles" leisten, tun Sie so viel wie möglich.
    • Überprüfen Sie die Binärdateien des Schlüsselsystems auf jedem Server, um sicherzustellen, dass sie den Anforderungen entsprechen. Dies ist vor allem unter Windows schwierig und auf einmaligen Systemen kaum rückwirkend möglich.
    • Fang an, nach Rootkits zu suchen. Per Definition sind sie schwer zu finden, aber dafür gibt es Scanner.

Gar nicht so einfach, auch nicht aus der Ferne. Die Kosten all dessen zu rechtfertigen, kann wirklich schwierig sein, ohne einen eindeutigen Beweis dafür, dass der jetzt Ex-Administrator tatsächlich böse war. Das Ganze ist nicht einmal mit Unternehmensvermögen machbar, was erfordert, dass Sicherheitsberater eingestellt werden, um einen Teil dieser Arbeit zu erledigen.

Wenn tatsächlich Böses entdeckt wird, insbesondere wenn es sich um eine Art Software handelt, sind geschulte Sicherheitsexperten am besten, um die Breite des Problems zu bestimmen. Dies ist auch der Zeitpunkt, an dem ein Strafverfahren eingeleitet werden kann, und Sie möchten wirklich, dass Personen, die im Umgang mit Beweismitteln geschult sind, diese Analyse durchführen.


Aber wie weit müssen Sie wirklich gehen? Hier kommt das Risikomanagement ins Spiel. Vereinfacht ausgedrückt ist dies die Methode zum Abwägen des erwarteten Risikos gegen den Verlust. Sysadmins tun dies, wenn wir entscheiden, an welchem externen Speicherort wir Backups erstellen möchten. Bankschließfach im Vergleich zu einem Datencenter außerhalb der Region. Herauszufinden, wie viel von dieser Liste benötigt wird, ist eine Übung im Risikomanagement.

In diesem Fall beginnt die Beurteilung mit ein paar Dingen:

  • Das erwartete Qualifikationsniveau des Verstorbenen
  • Der Zugang der Verstorbenen
  • Die Erwartung, dass das Böse getan wurde
  • Der mögliche Schaden eines Übels
  • Regulatorische Anforderungen für die Meldung von verübten oder präventiv aufgefundenen Verstößen. In der Regel muss erstere gemeldet werden, nicht jedoch die spätere.

Die Entscheidung, wie weit unten im obigen Kaninchenbau getaucht werden soll, hängt von den Antworten auf diese Fragen ab. Für Routineabfahrten von Administratoren, bei denen die Erwartung des Bösen sehr gering ist, ist der volle Zirkus nicht erforderlich. Das Ändern von Kennwörtern auf Administratorebene und das erneute Verschlüsseln von externen SSH-Hosts ist wahrscheinlich ausreichend. Dies wird wiederum durch die Sicherheitslage des Unternehmensrisikomanagements bestimmt.

Für Admins, die aus wichtigem Grund gekündigt wurden oder nach ihrer sonst normalen Abreise böse aufgetaucht sind, wird der Zirkus mehr gebraucht. Das schlimmste Szenario ist ein paranoider BOFH-Typ, dem mitgeteilt wurde, dass ihre Position in zwei Wochen aufgehoben wird, da sie so viel Zeit haben, sich vorzubereiten. Unter solchen Umständen kann Kyles Idee eines großzügigen Abfindungspakets alle möglichen Probleme lindern. Sogar Paranoiker können viele Sünden vergeben, nachdem ein Scheck mit einem Gehalt von 4 Monaten eingegangen ist. Diese Überprüfung wird wahrscheinlich weniger kosten als die Kosten der Sicherheitsberater, die zur Aufspürung ihres Bösen benötigt werden.

Aber letztendlich kommt es auf die Kosten an, zu bestimmen, ob Böses getan wurde, im Vergleich zu den potenziellen Kosten, die durch das tatsächliche Tun von Bösem entstehen.

sysadmin1138
quelle
22
+1 - Der Stand der Technik in Bezug auf Auditing-System-Binärdateien ist heute ziemlich schlecht. Mithilfe von Computerforensiktools können Sie Signaturen auf Binärdateien überprüfen. Aufgrund der zunehmenden Anzahl von Binärversionen (insbesondere unter Windows, bei denen alle Updates monatlich durchgeführt werden) ist es jedoch schwierig, ein überzeugendes Szenario zu finden, in dem Sie sich 100% nähern können. binäre Verifikation. (Ich würde Sie, wenn ich könnte, um
Evan Anderson
2
+++ Betreff: Ändern der Kennwörter für Dienstkonten. Dies sollte auf jeden Fall gründlich dokumentiert werden, daher ist dieser Prozess doppelt wichtig, wenn von Ihnen erwartet wird, dass Sie Ihre Arbeit erledigen.
Kara Marfia
2
@Joe H .: Vergessen Sie nicht, den Inhalt dieser Sicherung unabhängig von der Produktionsinfrastruktur zu überprüfen. Die Backup-Software könnte trojanisiert werden. (Einer meiner Kunden hatte einen Drittanbieter mit einer unabhängigen Installation seiner LOb-Anwendung, der damit beauftragt wurde, Sicherungen wiederherzustellen, sie in die App zu laden und zu überprüfen, ob die aus der Sicherung generierten Abschlüsse mit denen des Produktionssystems übereinstimmen. Pretty wild ...)
Evan Anderson
46
Gute Antwort. Vergessen Sie auch nicht, den verstorbenen Mitarbeiter als autorisierten Ansprechpartner für Dienstleister und Lieferanten zu entfernen. Domain-Registrare. Internetanbieter. Telekommunikationsunternehmen. Stellen Sie sicher, dass alle diese externen Parteien das Wort erhalten, dass der Mitarbeiter nicht mehr berechtigt ist, Änderungen vorzunehmen oder die Konten des Unternehmens zu besprechen.
Mox
2
"Die Gesamtheit des oben Genannten ist möglicherweise nicht einmal mit Unternehmensvermögen machbar, was die Einstellung von Sicherheitsberatern erfordert, um einen Teil dieser Arbeit zu erledigen." - Natürlich kann diese Exposition zu Kompromissen führen. Diese Prüfungsebene erfordert einen äußerst geringen Systemzugriff - und zwar von Personen, die wissen, wie man Dinge versteckt.
MightyE
100

Ich würde sagen, es ist ein Gleichgewicht zwischen Ihrer Sorge und dem Geld, das Sie bereit sind zu zahlen.

Sehr besorgt:
Wenn Sie sehr besorgt sind, können Sie einen externen Sicherheitsberater beauftragen, um einen vollständigen Scan von allem sowohl von außen als auch von innen durchzuführen. Wenn diese Person besonders klug wäre, könnten Sie in Schwierigkeiten geraten, sie könnten etwas haben, das für eine Weile ruht. Die andere Möglichkeit ist, einfach alles neu zu erstellen. Dies mag sehr übertrieben klingen, aber Sie werden die Umgebung gut kennenlernen und auch ein Disaster Recovery-Projekt durchführen.

Geringfügig besorgt:
Wenn Sie nur geringfügig besorgt sind, möchten Sie möglicherweise Folgendes tun:

  • A Ein Port-Scan von außen.
  • Viren- / Spyware-Scan. Rootkit-Scan für Linux-Computer.
  • Durchsuchen Sie die Firewall-Konfiguration nach Informationen, die Sie nicht verstehen.
  • Ändern Sie alle Kennwörter und suchen Sie nach unbekannten Konten (Stellen Sie sicher, dass sie keine Personen aktiviert haben, die nicht mehr bei der Firma sind, damit sie diese verwenden können usw.).
  • Dies ist möglicherweise auch ein guter Zeitpunkt, um ein Intrusion Detection System (IDS) zu installieren.
  • Beobachten Sie die Protokolle genauer als normalerweise.

Für die Zukunft:
Wenn ein Administrator geht, geben Sie ihm eine schöne Party und wenn er betrunken ist, bieten Sie ihm einfach eine Heimfahrt an - und entsorgen Sie ihn dann im nächsten Fluss, Sumpf oder See. Im Ernst, dies ist einer der guten Gründe, Admins großzügige Abfindungszahlungen zu gewähren. Sie möchten, dass sie sich gut fühlen, wenn sie so viel wie möglich gehen. Auch wenn sie sich nicht gut fühlen sollten, wen interessiert das? Tu so als ob es deine Schuld ist und nicht ihre. Die Kosten für eine Erhöhung der Kosten für die Arbeitslosenversicherung und das Abfindungspaket sind nicht mit dem Schaden vergleichbar, den sie anrichten könnten. Hier geht es um den Weg des geringsten Widerstands und darum, so wenig Drama wie möglich zu schaffen.

Kyle Brandt
quelle
1
Antworten ohne Mord wären wahrscheinlich vorzuziehen :-)
Jason Berg
4
+1 für den BOFH-Vorschlag.
Jscott
5
@ Kyle: Das sollte unser kleines Geheimnis sein ...
GregD
4
Toter Mann wechselt, Kyle. Wir legen sie dort ab, für den Fall, dass wir für eine Weile weggehen :) Mit "wir" meine ich, äh, sie?
Bill Weiss
12
+1 - Es ist eine praktische Antwort, und ich mag die Diskussion auf der Grundlage einer Risiko- / Kostenanalyse (weil es so ist). Die Antwort von Sysadmin1138 ist etwas umfassender: Der "Kautschuk trifft die Straße", geht aber nicht unbedingt auf die Risiko- / Kostenanalyse und die Tatsache ein, dass Sie häufig einige Annahmen außer Acht lassen müssen Fernbedienung". (Das mag die falsche Entscheidung sein, aber niemand hat unendlich
Evan Anderson
20

Vergessen Sie nicht, wie Teamviewer, LogmeIn, etc ... Ich weiß, dass dies bereits erwähnt wurde, aber ein Software-Audit (viele Apps da draußen) auf jedem Server / jeder Workstation würde nicht schaden, einschließlich Subnetz-Scans mit nmap NSE-Skripte.

Mars
quelle
18

Das Wichtigste zuerst - sichern Sie alles, was sich auf einem externen Speicher befindet (z. B. Band oder Festplatte, die Sie trennen und in den Speicher legen). Auf diese Weise können Sie sich möglicherweise ein wenig erholen, wenn etwas Bösartiges passiert.

Kämmen Sie als Nächstes Ihre Firewall-Regeln durch. Alle verdächtigen offenen Ports sollten geschlossen werden. Wenn es eine Hintertür gibt, wäre es eine gute Sache, den Zugang zu verhindern.

Benutzerkonten - suchen Sie nach Ihrem verärgerten Benutzer und stellen Sie sicher, dass sein Zugriff so schnell wie möglich entfernt wird. Wenn SSH-Schlüssel oder / etc / passwd-Dateien oder LDAP-Einträge vorhanden sind, sollten auch .htaccess-Dateien gescannt werden.

Suchen Sie auf Ihren wichtigen Servern nach Anwendungen und aktiven Überwachungsports. Stellen Sie sicher, dass die mit ihnen verbundenen laufenden Prozesse sinnvoll erscheinen.

Letztendlich kann ein entschlossener verärgerter Mitarbeiter alles - schließlich hat er Kenntnisse über alle internen Systeme. Man hofft, dass sie die Integrität haben, keine negativen Maßnahmen zu ergreifen.

PP.
quelle
1
Backups können auch wichtig sein, wenn etwas passiert, und Sie entscheiden sich für den Weg der Staatsanwaltschaft. Daher möchten Sie möglicherweise die Regeln für den Umgang mit Beweisen herausfinden und sicherstellen, dass Sie sie für alle Fälle befolgen.
Joe H.
3
Aber vergessen Sie nicht, dass das, was Sie gerade gesichert haben, verwurzelte Apps / Config / Daten usw. enthalten kann.
Shannon Nelson
Wenn Sie Backups eines gerooteten Systems haben, haben Sie Beweise.
XTL
17

Eine gut funktionierende Infrastruktur wird über die Tools, Überwachung und Kontrolle verfügen, um dies weitgehend zu verhindern. Diese schließen ein:

Wenn diese Tools ordnungsgemäß installiert sind, verfügen Sie über einen Audit-Trail. Andernfalls müssen Sie einen vollständigen Penetrationstest durchführen .

Der erste Schritt wäre, den gesamten Zugriff zu überwachen und alle Kennwörter zu ändern. Konzentrieren Sie sich auf externen Zugriff und potenzielle Einstiegspunkte - hier verbringen Sie Ihre Zeit am besten. Wenn der äußere Fußabdruck nicht gerechtfertigt ist, beseitigen oder verkleinern Sie ihn. Auf diese Weise haben Sie Zeit, sich intern auf mehr Details zu konzentrieren. Beachten Sie auch den gesamten ausgehenden Datenverkehr, da programmgesteuerte Lösungen möglicherweise eingeschränkte Daten extern übertragen.

Als System- und Netzwerkadministrator haben Sie letztendlich uneingeschränkten Zugriff auf die meisten, wenn nicht sogar alle Dinge. Damit geht ein hohes Maß an Verantwortung einher. Einstellungen mit dieser Verantwortung sollten nicht leichtfertig vorgenommen werden, und es sollten von Anfang an Maßnahmen ergriffen werden, um das Risiko zu minimieren. Wenn ein Profi eingestellt wird, und dies auch zu schlechten Bedingungen, würde er keine unprofessionellen oder illegalen Maßnahmen ergreifen.

Es gibt viele detaillierte Beiträge zu Server Fault, die die ordnungsgemäße Systemüberwachung aus Sicherheitsgründen sowie die Maßnahmen im Falle einer Kündigung behandeln. Diese Situation ist von diesen nicht einzigartig.

Warner
quelle
16

Ein kluger BOFH könnte eines der folgenden Dinge tun:

  1. Periodisches Programm, das eine ausgehende Netcat-Verbindung an einem bekannten Port initiiert, um Befehle abzurufen. Beispiel: Port 80. Wenn der Hin- und Rückverkehr gut durchgeführt wird, sieht er wie der Verkehr für diesen Port aus. Wenn also auf Port 80 HTTP-Header vorhanden wären und die Nutzdaten in Images eingebettete Chunks wären.

  2. Aperiodischer Befehl, der an bestimmten Stellen nach Dateien sucht, die ausgeführt werden sollen. Orte können Benutzercomputer, Netzwerkcomputer, zusätzliche Tabellen in Datenbanken und temporäre Spooldateiverzeichnisse sein.

  3. Programme, die prüfen, ob eine oder mehrere der anderen Hintertüren noch vorhanden sind. Ist dies nicht der Fall, wird eine Variante installiert und die Details per E-Mail an das BOFH gesendet

  4. Da Backups jetzt weitgehend auf der Festplatte ausgeführt werden, müssen Sie die Backups so ändern, dass sie mindestens einige Ihrer Root-Kits enthalten.

Möglichkeiten, sich vor solchen Dingen zu schützen:

  1. Wenn ein Mitarbeiter der BOFH-Klasse das Unternehmen verlässt, installieren Sie eine neue Box in der DMZ. Es wird eine Kopie des gesamten Datenverkehrs abgerufen, der die Firewall passiert. Suchen Sie nach Anomalien in diesem Verkehr. Letzteres ist nicht trivial, insbesondere wenn das BOFH normale Verkehrsmuster gut imitiert.

  2. Wiederholen Sie Ihre Server, damit wichtige Binärdateien auf schreibgeschützten Datenträgern gespeichert werden. Das heißt, wenn Sie / bin / ps ändern möchten, müssen Sie zum Computer gehen, einen Switch physisch von RO nach RW verschieben, einen einzelnen Benutzer neu starten, diese Partition rw erneut einbinden, Ihre neue Kopie von ps installieren, synchronisieren, neu starten, Kippschalter. Ein System, das auf diese Weise erstellt wurde, verfügt über mindestens einige vertrauenswürdige Programme und einen vertrauenswürdigen Kernel für die weitere Arbeit.

Natürlich, wenn Sie Windows verwenden, werden Sie abgespritzt.

  1. Unterteilen Sie Ihre Infrastruktur. Bei kleinen bis mittleren Unternehmen nicht zumutbar.

Möglichkeiten, dies zu verhindern.

  1. Tierarzt Antragsteller sorgfältig.

  2. Finden Sie heraus, ob diese Personen verärgert sind, und beheben Sie die Personalprobleme im Voraus.

  3. Wenn Sie einen Administrator mit diesen Kräften entlassen, versüßen Sie den Kuchen:

    ein. Sein Gehalt oder ein Teil seines Gehalts bleibt für einen bestimmten Zeitraum bestehen oder bis sich eine wesentliche Änderung des Systemverhaltens ergibt, die vom IT-Personal nicht erklärt wird. Dies könnte auf einem exponentiellen Zerfall sein. ZB bekommt er das volle Gehalt für 6 Monate, 80% davon für 6 Monate, 80% davon für die nächsten 6 Monate.

    b. Ein Teil seiner Vergütung wird in Form von Aktienoptionen gezahlt, die erst ein bis fünf Jahre nach seinem Ausscheiden wirksam werden. Diese Optionen werden nicht entfernt, wenn er geht. Er hat einen Anreiz, dafür zu sorgen, dass das Unternehmen in 5 Jahren gut läuft.

sysadmin1138
quelle
1
WTF ist ein BOFH?
Chloe
Chloe, BOFH, steht für Bastard Operator from Hell, den legendären paranoid-wahnhaften meglomanen Soziopathen-Schurken-Sysadmin, von dem IT-Leute träumen, wenn sie zu viel Zeit damit verbringen, jemandes Maus vom Boden zu heben. Unter bofh.ntk.net/Bastard.html en.wikipedia.org/wiki/Bastard_Operator_From_Hell
Stephanie
1
Je höher Ihre ServerFault-Punktzahl ist, desto höher sind Ihre Chancen, ein BOFH zu werden :-)
dunxd
"Natürlich, wenn Sie Windows verwenden, werden Sie abgespritzt." Ich möchte das an meiner Wand haben.
Programmer5000
13

Es fällt mir auf, dass das Problem schon besteht, bevor der Administrator geht. Es ist nur so, dass man das Problem zu dieser Zeit mehr bemerkt.

-> Man braucht einen Prozess, um jede Änderung zu überwachen, und ein Teil des Prozesses besteht darin, dass Änderungen nur über ihn angewendet werden.

Stephan Wehner
quelle
5
Ich bin neugierig, wie Sie diese Art von Prozess durchsetzen?
Mr. Shiny und New 安 安
Das ist ziemlich hart an einem kleinen Unternehmen zu tun (dh 1-2 Sys Admin Typ Leute)
Beep Beep
Es ist ein Schmerz, ihn durchzusetzen, aber er ist durchsetzbar. Eine der großen Grundregeln ist, dass sich niemand einfach an einer Box anmeldet und diese verwaltet, auch nicht über sudo. Änderungen sollten ein Konfigurationsverwaltungstool durchlaufen oder im Kontext eines Ereignisses vom Typ Firecall erfolgen. Jede einzelne routinemäßige Änderung an Systemen sollte Puppet, Cfengine, Chefkoch oder ein ähnliches Tool durchlaufen, und die gesamte Arbeit für Ihre Sysadmins sollte als versionskontrolliertes Repository dieser Skripte vorhanden sein.
Stephanie
12

Stellen Sie sicher, dass Sie alle Mitarbeiter im Unternehmen informieren, sobald sie das Unternehmen verlassen haben. Dadurch wird der Social-Engineering-Angriffsvektor entfernt. Wenn das Unternehmen groß ist, stellen Sie sicher, dass die Leute, die es wissen müssen, es wissen.

Wenn der Administrator auch für den geschriebenen Code verantwortlich war (Unternehmenswebsite usw.), müssen Sie auch eine Codeprüfung durchführen.


quelle
12

Es gibt eine große, die jeder ausgelassen hat.

Denken Sie daran, dass es nicht nur Systeme gibt.

  • Wissen Anbieter, dass diese Person nicht zum Personal gehört und dass ihnen kein Zugriff gewährt werden sollte (colo, telco)?
  • Gibt es externe gehostete Dienste, die möglicherweise separate Kennwörter haben (exchange, crm)?
  • Könnten sie sowieso Erpressungsmaterial haben?
LapTop006
quelle
9

Wenn Sie nicht wirklich wirklich paranoid sind, würde mein Vorschlag einfach darin bestehen, mehrere TCP / IP-Scan-Tools (tcpview, wireshark usw.) auszuführen, um festzustellen, ob verdächtige Versuche vorliegen, mit der Außenwelt in Kontakt zu treten.

Ändern Sie die Administratorkennwörter und stellen Sie sicher, dass keine zusätzlichen Administratorkonten vorhanden sind, die nicht vorhanden sein müssen.

Vergessen Sie auch nicht, die Kennwörter für den drahtlosen Zugriff zu ändern und die Einstellungen Ihrer Sicherheitssoftware (insbesondere AV und Firewall) zu überprüfen.

emtunc
quelle
+1 für die Änderung der Administratorkennwörter
PP.
5
Ok, aber TRUNCATE TABLE customer
Khai
Wenn es ein Rootkit gibt, kann es Passwd-Änderungen überwachen.
XTL
9

Überprüfen Sie die Protokolle auf Ihren Servern (und auf Computern, auf denen sie direkt arbeiten). Suchen Sie nicht nur nach ihrem Konto, sondern auch nach Konten, die keine bekannten Administratoren sind. Suchen Sie nach Löchern in Ihren Protokollen. Wenn ein Ereignisprotokoll kürzlich auf einem Server gelöscht wurde, liegt ein Verdacht vor.

Überprüfen Sie das Änderungsdatum der Dateien auf Ihren Webservern. Führen Sie ein schnelles Skript aus, um alle kürzlich geänderten Dateien aufzulisten und zu überprüfen.

Überprüfen Sie das Datum der letzten Aktualisierung aller Gruppenrichtlinien- und Benutzerobjekte in AD.

Stellen Sie sicher, dass alle Ihre Sicherungen funktionieren und die vorhandenen Sicherungen noch vorhanden sind.

Überprüfen Sie die Server, auf denen Sie Volume Shadow Copy-Dienste ausführen, damit der vorherige Verlauf fehlt.

Ich sehe bereits viele gute Dinge aufgelistet und wollte nur diese anderen Dinge hinzufügen, die Sie schnell überprüfen können. Es wäre es wert, eine vollständige Überprüfung von allem zu tun. Beginnen Sie jedoch mit den Orten mit den letzten Änderungen. Einige dieser Dinge können schnell überprüft werden und einige frühe rote Fahnen auslösen, um Ihnen zu helfen.


quelle
7

Grundsätzlich würde ich sagen, wenn Sie einen kompetenten BOFH haben, sind Sie zum Scheitern verurteilt ... es gibt viele Möglichkeiten, Bomben zu installieren, die unbemerkt bleiben. Und wenn Ihre Firma es gewohnt ist, die entlassenen "Manu-Militär" auszuwerfen, stellen Sie sicher, dass die Bombe vor der Entlassung gut gepflanzt wird !!!

Der beste Weg ist, das Risiko eines verärgerten Administrators zu minimieren ... Vermeiden Sie die "Entlassung aus Kostengründen" (wenn er ein kompetenter und bösartiger BOFH ist, werden die Verluste, die Ihnen möglicherweise entstehen, wahrscheinlich viel größer sein, als die, die Sie daraus ziehen die Entlassung) ... Wenn er einen inakzeptablen Fehler gemacht hat, ist es besser, ihn als Alternative zur Entlassung reparieren zu lassen ... Er wird das nächste Mal vorsichtiger sein, den Fehler nicht zu wiederholen (was eine Zunahme sein wird in seinem Wert) ... Aber seien Sie sicher, das gute Ziel zu treffen (es ist üblich, dass nicht kompetente Leute mit gutem Charisma ihre eigene Schuld dem kompetenten, aber weniger sozialen ablehnen).

Und wenn Sie sich im schlimmsten Sinne einem echten BOFH gegenübersehen (und dieses Verhalten ist der Grund für die Entlassung), sollten Sie besser bereit sein, das gesamte System, mit dem er in Kontakt stand, von Grund auf neu zu installieren (was wahrscheinlich bedeuten wird) jeden einzelnen Computer).

Vergessen Sie nicht, dass ein einziger Bitwechsel das gesamte System zerstören kann ... (setuid-Bit, Springen, wenn Carry auf Jump, wenn No Carry, ...) und dass sogar die Kompilierungswerkzeuge möglicherweise kompromittiert wurden.


quelle
7

Viel Glück, wenn er wirklich etwas weiß und etwas im Voraus eingerichtet hat. Sogar ein Trottel kann die Telekommunikation mit Unterbrechungen anrufen / mailen / faxen oder sie sogar auffordern, während des Tages vollständige Testmuster auf den Stromkreisen auszuführen.

Im Ernst, ein bisschen Liebe und ein paar Riesen bei der Abreise zu zeigen, verringert das Risiko wirklich.

Oh ja, für den Fall, dass sie anrufen, um "ein Passwort oder etwas zu bekommen", erinnern sie sich an Ihre 1099-Rate und die 1-Stunden-Minute und 100 Reisekosten pro Anruf, unabhängig davon, ob Sie irgendwo sein müssen ...

Hey, das ist das gleiche wie mein Gepäck! 1,2,3,4!


quelle
7

Ich schlage vor, dass Sie am Rand beginnen. Überprüfen Sie Ihre Firewall-Konfigurationen und stellen Sie sicher, dass Sie keine unerwarteten Einstiegspunkte in das Netzwerk haben. Stellen Sie sicher, dass das Netzwerk physisch gegen Wiedereintritt und Zugriff auf alle Computer geschützt ist.

Stellen Sie sicher, dass Sie über voll funktionsfähige und wiederherstellbare Sicherungen verfügen. Gute Backups halten Sie davon ab, Daten zu verlieren, wenn er etwas Zerstörerisches tut.

Überprüfen Sie alle Dienste, die über den Perimeter zugelassen sind, und stellen Sie sicher, dass ihm der Zugriff verweigert wurde. Stellen Sie sicher, dass diese Systeme über funktionierende Protokollierungsmechanismen verfügen.

Zoredache
quelle
5

Alles löschen, neu starten;)

dmp
quelle
1
+1 - Wenn ein Server auf Root-Ebene gefährdet ist, müssen Sie erneut von vorne beginnen. Wenn dem letzten Administrator nicht vertraut werden konnte, gehen Sie von einer Kompromittierung auf Root-Ebene aus.
James L
2
Nun ... Ja ... Beste Lösung ... Auch das Management ist schwer davon zu überzeugen, alles zu wiederholen. Active Directory. Austausch. SQL. Sharepoint. Sogar für 50 Benutzer ist dies keine kleine Aufgabe, geschweige denn für mehr als 300 Benutzer.
Jason Berg
@danp: Verdammt ja, Überstunden bezahlen und keine Wochenenden aus. :(
jscott
1
aww, sysadmins sind miserabel, die hätten vorhersagen können: p
dmp
2
Oh, Sysadmins sind vernünftig, wer hätte das vorhersagen können. Ihre Idee hat zwar technische Vorzüge, ist aber selten praktikabel oder machbar.
John Gardeniers
5

Verbrenne es ... verbrenne alles.

Nur so können Sie sicher sein.

Brennen Sie dann alle Ihre externen Interessen, Domain-Registrare, Kreditkartenzahlungsanbieter das Los.

Beim zweiten Gedanken ist es vielleicht einfacher, Bikie-Kollegen zu bitten, die Person davon zu überzeugen, dass es gesünder ist, wenn sie Sie nicht stört.


quelle
1
Äh, großartig. Also, wenn ein Administrator gefeuert wird, einfach die gesamte Firma auslöschen? Okay, lassen Sie mich das den Aktionären erklären.
Piskvor
2
Der einzige Weg, um sicher zu sein, ist, es aus der Umlaufbahn zu bombardieren
Hubert Kario
4

Vermutlich hat ein kompetenter Administrator irgendwo auf dem Weg ein sogenanntes BACKUP der Basissystemkonfiguration erstellt. Es ist auch sicher anzunehmen, dass Sicherungen mit einer angemessenen Häufigkeit durchgeführt werden, die die Wiederherstellung einer bekannten sicheren Sicherung ermöglicht.

Da einige Dinge tun ändern, ist es eine gute Idee , von der Sicherung läuft virtualisiert , wenn möglich , bis Sie die primäre Installation nicht beeinträchtigt werden sicherstellen können.

Unter der Annahme, dass das Schlimmste offensichtlich wird, verschmelzen Sie, was Sie können, und geben den Rest von Hand ein.

Ich bin schockiert, dass noch niemand erwähnt hat, dass ich ein sicheres Backup verwende. Bedeutet das, dass ich meinen Lebenslauf bei Ihrer Personalabteilung einreichen sollte?


quelle
Was für ein sicheres Backup? Ein schlauer, böser Administrator wird die Hintertür vor zwei Jahren installiert haben.
Jakob Borg
Sicherung toter Daten und Installationsverfahren für ausführbare Dateien aus unberührten Quellen. Auch Backups einer Backdoor sind Beweise.
XTL
3

Versuchen Sie, seinen Standpunkt einzunehmen.

Sie kennen Ihr System und wissen, was es tut. Sie könnten sich also vorstellen, was für eine Verbindung von außen erfunden werden könnte , selbst wenn Sie kein Systemadministrator mehr sind ...

Abhängig davon, wie die Netzwerkinfrastruktur ist und wie all dies funktioniert, sind Sie die beste Person, die möglicherweise weiß, was zu tun ist und wo sich dies befinden könnte.

Aber wenn Sie von einem experimentierten Fach sprechen , müssen Sie überall in der Nähe suchen ...

Netzwerkverfolgung

Da das Hauptziel darin besteht, die Fernsteuerung Ihres Systems über Ihre Internetverbindung zu übernehmen, können Sie die Firewall beobachten (und sogar ersetzen, da dies ebenfalls beschädigt sein könnte !!) und versuchen, jede aktive Verbindung zu identifizieren .

Das Ersetzen der Firewall gewährleistet keinen vollständigen Schutz, stellt jedoch sicher, dass nichts verborgen bleibt. Wenn Sie also nach Paketen Ausschau halten, die von der Firewall weitergeleitet werden, müssen Sie alles sehen, einschließlich unerwünschten Datenverkehrs.

Sie können es verwenden, tcpdumpum alles zu verfolgen (wie es US-Paranoiker tun;) und die Dump-Datei mit einem erweiterten Tool wie dem zu durchsuchen wireshark. Nehmen Sie sich etwas Zeit, um zu sehen, was dieser Befehl bewirkt (Sie benötigen 100 GB freien Speicherplatz auf der Festplatte):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Vertraue nicht alles

Selbst wenn Sie etwas finden, werden Sie nicht sicher sein, dass Sie ganz schlechtes Zeug gefunden haben!

Schließlich werden Sie nicht wirklich ruhig sein , bevor Sie wieder installiert haben alles (aus vertrauenswürdigen Quellen!)

F. Hauri
quelle
2

Wenn Sie den Server nicht wiederherstellen können, ist es wahrscheinlich das Beste, Ihre Firewalls so weit wie möglich zu sperren. Folgen Sie jeder einzelnen möglichen eingehenden Verbindung und stellen Sie sicher, dass sie auf das absolute Minimum reduziert ist.

Ändern Sie alle Passwörter.

Ersetzen Sie alle SSH-Schlüssel.

wolfgangsz
quelle
1

Im Allgemeinen ist es ziemlich schwer ...

Wenn es sich jedoch um eine Website handelt, sehen Sie sich den Code direkt hinter dem Login-Button an.

Wir haben ein "if username = 'admin'" Ding gefunden ...

Mark Redman
quelle
0

Machen Sie das Wissen der vorherigen IT-Mitarbeiter im Wesentlichen wertlos.

Ändern Sie alles, was Sie ändern können, ohne die IT-Infrastruktur zu beeinträchtigen.

Der Wechsel oder die Diversifizierung von Lieferanten ist eine weitere gute Praxis.

lrosa
quelle
1
Ich kann die Relevanz der Lieferanten für die Frage nicht verstehen.
John Gardeniers
Weil der Lieferant ein Freund sein oder mit dem vorherigen IT-Team verbunden sein könnte. Wenn Sie denselben Lieferanten behalten und alles andere ändern, riskieren Sie, das alte IT-Team zu informieren und alles wertlos zu machen. Ich habe dies auf der Grundlage früherer Erfahrungen geschrieben.
Lrosa
Nun, wenn Sie dem Lieferanten nicht Ihre privaten Schlüssel übergeben haben, sind Sie sich nicht sicher, was das vorherige IT-Team davon hat: "Wie Sie sagen, Bob, haben sie neue Schlüssel, neue Passwörter generiert und den gesamten Zugriff von außen gesperrt? Hmm. [Öffnet einen Mac, führt nmap aus und tippt zwei Sekunden lang] Ok, ich bin dabei. " (CUT!)
Piskvor
Es geht nicht nur um den Perimeterzugriff, sondern auch um die interne IT-Infrastruktur. Angenommen, Sie möchten einen Angriff auf der Basis von Social Engineering fortsetzen: Die Kenntnis der internen Struktur ist sehr praktisch (Mitnick-Regeln).
Lrosa