Ich versuche, das Netzwerk beim KMU meiner Freundin zu behandeln: Der vorherige Netzwerkadministrator versuchte mehr oder weniger, sie zu erpressen (beispielsweise weigerte er sich, die Passwörter der verschiedenen Geräte anzugeben: NAS usw., es sei denn, er würde Geld bekommen) so wurden sie ihn los.
Jetzt ändern wir alle Passwörter von allen Computern, Cams, NAS usw. und ich fand etwas seltsames im Keller. Neben dem Rack fand ich ein kleines Gehäuse (nicht sehr professionell, mit einem handgefertigten Loch) Um Kabel in das Kabel laufen zu lassen): Ich habe es geöffnet und es enthält einen Raspberry Pi, der per USB an eine scheinbar Festplatte angeschlossen ist. Es gibt zwei Verbindungen zu diesem Raspberry: ein USB-Kabel zur Festplatte und ein Ethernet-Kabel, das in ein TPLink-VPN eingesteckt wird (das Kabel, das zu / von dem Raspberry führt, wird an einen der vier Ethernet-Ports angeschlossen, nicht an den WAN-Port).
Welche Rolle würde ein solches Gerät in einem "normalen" Unternehmen spielen, das nichts mit IT zu tun hat: Es handelt sich um ein Steuerbuchungsunternehmen mit zwei kleinen Büros (daher das VPN).
Wie finde ich genau heraus, wofür dieser Raspberry PI verwendet wird? (Ich mache mir Sorgen, dass ich durch das Ausschalten die Netzwerkkonfiguration durcheinander bringen könnte)
Könnte dies eine Sicherungssache sein?
Beachten Sie, dass ich nicht weiß, ob Superuser die richtige Stackexchange-Site ist, um eine solche Frage zu stellen, und dass ich nicht weiß, wofür diese Himbeere verwendet wird.
Jede Hilfe wird sehr geschätzt.
quelle
Antworten:
Die Frage ist ein bisschen wie: Was ist der Zweck dieses Buches? Es hat zwei Hardcovers, viele Seiten, einen Index und ein Glossar. Sie werden es nie erfahren, bis Sie es untersuchen.
Die USB-Festplatte enthält einige Daten, ihr Ethernet-Anschluss ermöglicht die Kommunikation mit LAN und WAN. Ich verstehe nicht, warum Sie behaupten, es sei mit einem VPN verbunden.
Himbeer-PIs sind zwar nur in der Größe klein, aber sie sind nur Universalcomputer. Sie können Code schreiben, der für fast alles läuft. In Anbetracht der Art der Person, die dies eingerichtet hat, und ihres Standorts ist die Verwendung als Hintertür in Ihrem System am wahrscheinlichsten. Die Verwendung einer Hintertür ist wieder so allgemein, wie es sein kann, einschließlich aller Arten von ruchlosen Schemen.
Es erscheint jedoch unwahrscheinlich, dass eine netzwerkbezogene nützliche Aufgabe ausgeführt wird. In Ihren Schuhen würde ich es einfach aus Ihrem Netzwerk aushängen und sehen, was los ist. In jedem Fall, auch wenn es irgendetwas Nützliches leistet, wie können Sie sich darauf verlassen? nicht etwas Falsches auf der Seite durchführen?
Abgesehen von der Verwendung eines Netzwerküberwachungs-Tools (das viele wertvolle Informationen liefern würde) möchten Sie möglicherweise den Inhalt der Festplatte überprüfen (wenn sie verschlüsselt ist, können Sie ziemlich sicher sein, dass sie für illegale Schemata verwendet wurde) und den SD Karte des RPi. Sie können die Karte einfach in Ihren PC stecken, mounten und die automatisch startenden Dateien lesen. d.h. der Inhalt von /etc/init.d, /etc/rc.local, das Vorhandensein von Programmen wie autossh, openvpn usw. Auch wenn die Karte verschlüsselt ist, ist es eine sichere Wette, dass er etwas Falsches vorhat.
Wenn Sie wirklich daran interessiert sind und keine Komponente verschlüsselt ist, können Sie versuchen, ein Hypervisor-Programm (VirtualBox, HyperV, KVM, Xen, je nach Plattform) zu verwenden, um eine virtuelle Maschine zu erstellen, die von der SD-Karte aus startet. Es muss eine Milliarde Google-Verweise geben
Forensics in a Virtual Environment/Machine...Vor allem aber würde ich sehr schnell Steck es aus.
quelle