我们都知道它发生了。一位痛苦的老IT员工离开了系统和网络的后门,以便与新员工一起玩耍,并向公司展示没有他的情况是多么糟糕。我经历过的最多的是一个在离开前就偷东西偷东西的人。我肯定会发生这种情况。

因此,当接管一个不太值得信任的网络时,应采取什么步骤来确保一切安全可靠?

评论

+1,我喜欢这个问题。与新客户打交道时,这是我最不喜欢的事情,特别是如果最后一个人的条件不好时。

我离开过的大多数地方,我不在那儿说“不要那样做”足以使网络瘫痪。我不需要离开后门。

@Paul,这表明您没有正确记录文档。希望新来的人能正确地完成自己的工作。

@John,您的用户和同事阅读文档吗?我在哪里可以买到那些呢?

@Paul,用户-不,他们为什么要这么做?同事(假设您是指IT人员)-是的。阅读文档应该是开始新工作的第一步。

#1 楼

真的,真的,真的很难。它需要非常完整的审核。如果您确定老人留下的东西会繁荣起来,或者因为他们是唯一可以扑灭大火的人而要求他们重新雇用,那么该是时候假设您已经被一个人扎根了敌对党。就像一群黑客进来偷东西一样对待它,您必须在他们陷入混乱后清理。因为就是这样。

审核每个系统上的每个帐户,以确保它与特定实体相关联。 。
需要清除与任何内容都不相关的帐户(无论如何都需要清除,但是在这种情况下尤为重要)
更改可以想像得到的所有密码
对于公用事业帐户,这可能是一个真正的问题,因为这些密码往往会被硬编码为事物。
如果它们是响应最终用户呼叫的帮助台类型,请假定其密码为任何受过帮助的人。
如果他们具有Active Directory的Enterprise Admin或Domain Admin,则假定他们在离开之前已抓取了密码哈希的副本。现在它们可以很快被破解,以至于需要在几天之内强行更改公司范围的密码。所有公共密钥SSH密钥用法,以确保其密钥被清除,并检查在您使用时是否暴露了任何私钥。
如果他们可以访问任何电信设备,请更改路由器/交换机/网关/ PBX密码。这可能是一个真正的皇家痛苦,因为这可能会导致严重的中断。
全面审核您的外围安全安排。
确保所有防火墙漏洞都可以追溯到已知的授权设备和端口。
确保所有远程访问方法(VPN,SSH,BlackBerry,ActiveSync,Citrix,SMTP,IMAP,WebMail等)都没有附加的身份验证,并完全审查未经授权的访问方法。
确保远程WAN链接跟踪到充分就业的人,并进行核实。尤其是无线连接。您不希望他们带着公司付费的蜂窝调制解调器或智能手机走开。请与所有此类用户联系,以确保他们拥有正确的设备。
全面审核内部特权访问安排。这些是像SSH / VNC / RDP / DRAC / iLO / IMPI这样的对普通用户没有的服务器的访问,或者对诸如工资单之类的敏感系统的任何访问。
与所有外部供应商和服务提供商合作以确保联系是正确的。
确保将它们从所有联系人和服务列表中删除。无论如何,这都应该在出发后进行,但现在非常重要。
验证所有联系人是否合法并具有正确的联系信息,以便找到可以被假冒的幽灵。
开始寻找逻辑炸弹。 。
检查所有自动化(任务计划程序,cron作业,UPS呼出列表,或按计划运行或被事件触发的任何事物)是否存在恶意迹象。所谓“全部”,是指全部。检查每个crontab。检查监视系统中的每个自动操作,包括探针本身。检查每个Windows Task Scheduler;甚至工作站。除非您在高度敏感的地区为政府工作,否则您将无法承担全部费用。
验证每个服务器上的关键系统二进制文件,以确保它们是正确的。这非常棘手,尤其是在Windows上,并且几乎不可能在一次性系统上进行追溯。
开始寻找rootkit。根据定义,它们很难找到,但是有用于此目的的扫描器。

必须在非常高的水平上做出启动对此难以置信的范围进行审核的决定。您的法律团队将决定将其视为潜在的刑事案件。如果他们选择先进行一些初步调查,请继续进行。开始寻找。
如果发现任何证据,请立即停止。

一旦发现可能的情况,立即通知您的法律团队。
决定将其视为刑事案件的决定将
未经训练的双手进一步采取的行动(您)会破坏证据,而您不希望这样做,除非您不希望犯罪分子自由行走。
如果保留了外部安全专家,您是他们的当地专家。与他们合作,朝着他们的方向发展。他们了解证据的法律要求,您却不了解。
安全专家,您的管理层和法律顾问之间将进行很多谈判。可以预期的,与他们一起工作。


但是,实际上,您还需要走多远?这就是风险管理发挥作用的地方。简而言之,这是一种平衡预期风险与损失的方法。当我们决定要放置备份的异地位置时,系统管理员会执行此操作;银行保险箱与区域外数据中心。找出其中需要遵循的清单是进行风险管理的一种方法。
在这种情况下,评估应从以下几件事开始:

离职者的预期技能水平
/>遇难者的出没途径
对邪恶已经造成的期望
任何邪恶的潜在损害
报告犯罪与先发制人的邪恶的法规要求。通常,您必须报告前者,而不必报告后者。

决定将上述兔子洞下潜至多深取决于这些问题的答案。对于对邪恶的期望很小的例行行政离职,不需要完整的马戏团;更改管理员级别的密码并重新键入任何面向外部的SSH主机可能就足够了。再次,企业风险管理的安全状况决定了这一点。最坏的情况是偏执的BOFH型,他被告知他们的职位将在2周内被裁掉,因为这给了他们足够的时间准备。在这种情况下,凯尔(Kyle)提出的慷慨解雇费方案可以缓解各种问题。在收到包含4个月工资的支票后,即使偏执狂也可以宽恕许多罪恶。这项检查的成本可能比散布其罪恶所需的安全顾问的成本要低。
但最终,归结为确定是否进行过犯罪的成本与实际进行的任何犯罪的潜在成本。

评论


+1-关于审计系统二进制文件的最新技术今天非常糟糕。计算机取证工具可以帮助您验证二进制文件上的签名,但是随着不同二进制文件版本的激增(尤其是在Windows中,每月都会进行所有更新),很难提出一种令人信服的方案,使您可以接近100%二进制验证。 (如果可以的话,我会给您+10,因为您已经很好地总结了整个问题。这是一个很难的问题,尤其是如果没有分区和分工的情况。)

–埃文·安德森(Evan Anderson)
2010年8月18日15:51



+++回复:更改服务帐户密码。无论如何,都应该对此进行彻底的记录,因此,如果希望您能完成工作,则此过程至关重要。

–卡拉·玛菲亚(Kara Marfia)
2010年8月18日在19:03

@Joe H .:不要忘了独立于生产基础架构来验证所述备份的内容。备份软件可能已木马化。 (我的一个客户有一个第三方,他们的LOb应用程序是独立安装的,与第三方签订合同以还原备份,将其加载到应用程序中,并验证从备份生成的财务报表是否与生产系统生成的财务报表匹配。野生...)

–埃文·安德森(Evan Anderson)
2010年8月19日14:11

好答案。另外,不要忘记将离职的员工作为服务提供商和供应商的授权联系点。域名注册商。互联网服务提供商。电信公司。确保所有这些外部各方都得到这样的信息:员工不再有权进行任何更改或讨论公司的账目。

– Mox
2010年8月25日在1:44

从理论上讲,其中两个是可行的:“了解量子力学”,“检查所有自动化措施是否存在邪恶迹象”,“以10公里的高度跳下飞机并生存下来”

–安道尔
2010年11月3日在20:03

#2 楼

我要说的是,您所关心的问题与您愿意支付的费用之间取得了平衡。

非常关心:
如果您非常关心,那么您可能想聘请外部安全顾问从内部和外部角度对所有内容进行全面扫描。如果这个人特别聪明,您可能会遇到麻烦,他们可能会休眠一段时间。另一个选择是简单地重建所有内容。这听起来可能太过分了,但是您会很好地了解环境,并且也要进行灾难恢复项目。

稍​​加关注:
如果您只是有点担心,您可能只想这样做:


从外部进行端口扫描。
病毒/间谍软件扫描。 Rootkit Scan for Linux Machines。
查看防火墙配置,了解您不了解的所有内容。
更改所有密码并查找任何未知帐户(确保他们没有激活不再在公司任职的人员,以便他们可以使用该密码,等等)。
这可能也是研究安装入侵检测系统(IDS)的好时机。
比平时更仔细地观察日志。

对于未来:
管理员离开时往前走,会给他开个不错的聚会,然后当他喝醉后,只给他一个兜风的地方-然后把他丢到最近的河流,沼泽或湖泊中。更严重的是,这是给予管理员慷慨解雇费的充分理由之一。您希望他们对离开尽可能多感到满意。即使他们不应该感觉良好,谁在乎?也要吮吸它并使他们快乐。假装这是您的错,而不是他们的错。提高失业保险和遣散费的成本与他们可能造成的损失无法相比。这都是关于减少阻力和创造尽可能少的戏剧的途径。

评论


不包括谋杀的答案可能会更受欢迎:-)

–Jason Berg
2010年8月18日在15:19

BOFH建议+1。

– jscott
10年8月18日在15:20

@Kyle:那应该是我们的小秘密...

– GregD
10年8月18日在15:28

致命开关,凯尔。我们把它们放在那儿,以防我们离开一会儿。:)“我们”,我的意思是,嗯?

–比尔·韦斯(Bill Weiss)
2010年8月18日在15:49

+1-这是一个实用的答案,我喜欢基于风险/成本分析的讨论(因为这就是事实)。 Sysadmin1138的回答更为全面:“橡胶遇上了麻烦”,但不一定要进行风险/成本分析,而且事实是,在许多情况下,您不得不搁置一些假设,因为远程”。 (这可能是一个错误的决定,但没有人有无限的时间/金钱。)

–埃文·安德森(Evan Anderson)
2010年8月18日在15:56

#3 楼

不要忘记Teamviewer,LogmeIn等之类的东西...我知道已经提到过了,但是每个服务器/工作站的软件审核(很多应用都在那里)不会受到损害,包括使用nmap进行的子网扫描NSE脚本。

#4 楼

首先,首先-备份场外存储中的所有内容(例如,断开连接并放入存储中的磁带或HDD)。这样,如果发生恶意事件,您也许可以稍作恢复。

接下来,梳理防火墙规则。任何可疑的开放端口都应关闭。如果有后门,那么阻止访问将是一件好事。

用户帐户-查找您心怀不满的用户,并确保尽快删除他们的访问权限。如果存在SSH密钥,/ etc / passwd文件或LDAP条目,甚至.htaccess文件,都应进行扫描。

在重要服务器上查找应用程序和活动的侦听端口。确保附在他们上面的运行过程合理。

最终,一个坚定不满的员工可以做任何事情-毕竟,他们了解所有内部系统。人们希望他们有诚信,不要采取负面行动。

评论


如果确实发生了备份,备份也可能很重要,因此您决定采用起诉路线,因此您可能希望找出证据处理的规则,并确保以防万一。

–乔H.
2010年8月19日在13:51

但是请不要忘记,您刚刚备份的内容可能包括植根的apps / config / data等。

–香农·尼尔森(Shannon Nelson)
10年8月24日在22:54

如果您拥有根系统的备份,则有证据。

– XTL
2012年3月20日14:04

#5 楼

一个运行良好的基础架构将拥有适当的工具,监视和控制措施,以在很大程度上防止这种情况的发生。其中包括:


正确的网络分段和防火墙
基于主机的IDS
基于网络的IDS
中央日志记录
访问控制
变更控制

如果这些工具安装正确,您将拥有审核记录。否则,您将必须执行完整的渗透测试。

第一步将是审核所有访问权限并更改所有密码。专注于外部访问和潜在的切入点-这是您花费时间最好的地方。如果外部占用空间不合理,请消除或缩小它。这将使您有时间在内部专注于更多细节。还应注意所有出站流量,因为编程解决方案可能会在外部传输受限数据。

最终,作为系统和网络管理员,您可以完全访问大多数(如果不是全部)内容。随之而来的是高度的责任感。不应轻视这种责任级别的招聘,并且应采取措施将风险从一开始就降至最低。如果雇用了专业人员,即使辞职也很糟糕,他们也不会采取不专业或违法的行动。如果有人解雇该怎么办。这种情况并非如此。

#6 楼

聪明的BOFH可以执行以下任何操作:定期程序,该程序在众所周知的端口上启动netcat出站连接以接收命令。例如。端口80。如果做得好,则来回流量将具有该端口的流量。因此,如果在端口80上,它将具有HTTP标头,并且有效载荷将是嵌入在图像中的块。
非周期性命令,在特定位置查找要执行的文件。位置可以位于用户计算机,网络计算机,数据库中的附加表,临时假脱机文件目录中。
程序,用于检查是否还存在一个或多个其他后门。如果不是,则安装它的变体,并将详细信息通过电子邮件发送给BOFH。由于现在磁盘备份已完成很多方式,因此请修改备份以至少包含一些根套件。

如何保护自己免受此类伤害:


当BOFH班级员工离开时,请在DMZ中安装一个新盒子。它获取通过防火墙的所有流量的副本。查找此流量中的异常。后者并非易事,特别是如果BOFH擅长模仿正常的流量模式。也就是说,如果您要修改/ bin / ps,则必须转到计算机,将交换机从RO物理地移到RW,重新启动单用户,重新安装该分区rw,安装新的ps副本,同步,重新启动,拨动开关。以这种方式完成的系统至少具有一些受信任的程序和一个受信任的内核,用于进行进一步的工作。

当然,如果您使用的是Windows,则会遇到麻烦。 br />分隔您的基础结构。对于中小型公司来说,这是不合理的。

防止此类事情的方法。


仔细地审核申请人。不满并提前解决人事问题。

当您解雇具有这些权力的管理员时,会变得更好:

a。他的薪水或薪水的一部分会持续一段时间,或直到IT员工无法解释的系统行为发生重大变化为止。这可能是指数衰减的。例如。他可以获得6个月的全薪,为6个月获得80%,接下来的6个月为80%。

b。他的部分薪水以股票期权的形式出现,在他离开后的一到五年内不会生效。他离开时不会删除这些选项。他有动力确保公司在5年内运作良好。



评论


WTF是BOFH?

– Chloe
2012年10月28日上午10:10

BOFH的Chloe是Hell的Bastard Operator的代表,这是标志性的偏执狂妄想性的社会病态的流氓系统管理员,IT人员花费太多时间从某个人的梦想中捡起鼠标。最初在bofh.ntk.net/Bastard.html en.wikipedia.org/wiki/Bastard_Operator_From_Hell上对alt.sysadmin.recovery构成了一系列故事

–斯蒂芬妮
2012年11月9日下午7:05

ServerFault分数越高,成为BOFH的机会就越高:-)

– Dunxd
2013年1月10日16:30

“当然,如果您使用的是窗户,那真是无聊。”我想要这个在我的墙上。

–programmer5000
17-10-25在21:35

#7 楼

令我惊讶的是,即使在管理员离开之前,问题仍然存在。只是那个时候更多地注意到了这个问题。

->一个人需要一个过程来审核每项更改,而过程的一部分是仅通过更改来应用更改。

评论


我很好奇您如何执行这种过程?

– Shiny和New安宇先生
2010年8月25日13:35

在一家小公司(即1-2个Sys Admin类型的人员)很难做到这一点

–哔哔声
2011年6月14日下午3:53

强制执行很痛苦,但是可以强制执行。基本原则之一是,即使通过sudo,也没有人可以登录并对其进行管理。更改应通过配置管理工具进行,或者应在Firecall类型事件的上下文中进行。对系统的每次例行更改都应通过puppet,cfengine,chef或类似工具进行,并且sysadmin的整个工作内容都应作为这些脚本的版本控制存储库存在。

–斯蒂芬妮
2012年11月9日7:16



#8 楼

每个人都有一个很大的遗漏。

请记住,不仅仅是系统。


供应商是否知道这个人不在工作人员中,不应被允许访问(colo,telco)
是否有任何外部托管服务可能具有单独的密码(exchange,crm)
它们是否仍可能存在勒索信息(可以开始使用位...)


#9 楼

确保离开公司后告诉公司中的每个人。这将消除社会工程学攻击媒介。如果公司很大,那么请确保需要认识的人。

如果管理员还负责编写代码(公司网站等),那么您将需要进行代码审核,因为好吧。

#10 楼

除非您真的很偏执,否则我的建议是只运行几个TCP / IP扫描工具(tcpview,wireshark等),以查看是否有任何可疑的尝试与外界联系。

更改管理员密码,并确保没有不需要的“其他”管理员帐户。

此外,请不要忘记更改无线访问密码并检查安全软件设置(尤其是AV和防火墙)

评论


+1用于更改管理员密码

– PP。
2010年8月18日在15:25

好的,但是要小心被动听怪异的东西,因为当运行TRUNCATE TABLE客户时,您可能会眨眼:P

–凯
10年8月18日在17:39

如果有一个rootkit,它可能正在监听passwd的更改。

– XTL
2012年3月20日14:06

#11 楼

检查服务器(及其直接运行的计算机)上的日志。不仅要查找其帐户,还要查找未知管理员的帐户。在日志中寻找孔。如果最近在服务器上清除了事件日志,则很可疑。

检查Web服务器上文件的修改日期。运行一个快速脚本,以列出所有最近更改的文件并查看它们。

检查AD中所有组策略和用户对象的最后更新日期。

验证所有备份是否正常工作,并且现有备份仍然存在。

检查正在运行卷影复制服务的服务器,以免丢失以前的历史记录。

我已经看到很多不错的东西,只是想添加这些其他东西可以快速检查。全面审查所有内容都是值得的。但是,从发生最新变化的地方开始。其中一些事情可以快速检查,并且可以提早发出一些危险信号来帮助您。

#12 楼

基本上,我想说的是,如果您有能力胜任BOFH,那么您注定要失败……有很多方法可以引起人们的注意。而且,如果您的公司习惯于将“手动”炸弹驱逐出局,请确保在裁员之前将炸弹很好地植入!!!

最好的方法是最大程度地降低发生爆炸的风险生气的管理员...避免“削减成本裁员”(如果他是一个干练而邪恶的BOFH,您可能蒙受的损失可能比裁员所造成的损失还要大)...一些无法接受的错误,最好让他解决(无薪)以替代解雇...他下次会更谨慎,不要重蹈覆辙(这将增加他的价值)...但是一定要达到好目标(通常,具有超凡魅力的不称职的人会拒绝自己对有能力但社会性较低的人的错误)。

如果您面对的是最糟糕的真正BOFH(并且这种行为是裁员的原因),您最好准备从头开始重新安装他所接触的所有系统(这可能意味着每台计算机er)。

别忘了一点点更改可能会使整个系统崩溃……(setuid位,如果进行则跳转,如果不进行则跳转,...),甚至编译工具可能已损坏。

#13 楼

如果他真的知道什么,并且事先设置好了,那就祝你好运。即使是昏昏欲睡的人,也可以在断开连接的情况下致电/发送电子邮件/传真该电信公司,甚至可以要求他们在白天在电路上运行完整的测试模式。减轻风险。

是的,如果他们打来“要求输入密码或其他东西”,请提醒他们您的1099费率以及每次通话1小时的最低费用和100的差旅费用,无论您是否必须随处...

嘿,那和我的行李一样! 1,2,3,4!

#14 楼

我建议您从外围开始。验证防火墙配置,以确保您没有意外的网络入口点。确保网络在物理上安全,以防他重新进入并访问任何计算机。

请确认您具有完整的工作备份和可还原的备份。如果他做一些破坏性的事情,那么好的备份将使您避免丢失数据。

检查外围允许的任何服务,并确保他被拒绝访问。确保这些系统具有适当的工作日志记录机制。

#15 楼

删除所有内容,然后重新开始;)

评论


+1-如果服务器受到根级攻击,则必须重新开始。如果不能信任最后一个管理员,请采取根级折衷方案。

–詹姆斯·L
2010年8月18日在15:09

嗯...是...最佳解决方案...也很难说服管理层重做所有事情。活动目录。交换。 SQL。共享点。即使对于50个用户而言,这也不是一件容易的事……对于300多个用户而言,这将是不小的任务。

–Jason Berg
2010年8月18日在15:18

@danp:好的,加班费,没有周末。 :(

– jscott
10年8月18日在15:28

AWW,系统管理员惨不忍睹,他们本来可以预料到:p

– dmp
2010年8月18日在17:24

哇,系统管理员很明智,可以预见。尽管您的想法具有技术优势,但很少可行或可行。

–约翰·加迪尼尔(John Gardeniers)
2010年8月19日在11:07

#16 楼

烧掉...。全部烧掉。

这是唯一可以确定的方法。

然后烧掉所有外部利益,域名注册商和信用卡付款提供者很多。

再三考虑,也许更容易要求任何Bikie伙伴说服个人,让他们不打扰您更健康。

评论


恩,太好了。因此,如果管理员被解雇了,就彻底消灭整个公司吗?好吧,让我向股东们解释一下。

– Piskvor离开了建筑物
10年8月25日在7:03

唯一确定的方法是从轨道上将其核弹

–休伯特·卡里奥(Hubert Kario)
2010-10-5 20:02

#17 楼

据推测,在此过程中,一位称职的管理员对基本系统配置进行了备份。假设已经以合理的频率进行了备份,可以从已知的安全备份中还原,这也是安全的。

鉴于某些事情确实发生了变化,因此运行它是一个好主意。从备份中进行虚拟化(如果可能的话),直到可以确保主要安装不会受到损害。

假设情况变得最糟,则可以合并所有内容,然后手动输入其余内容。
我很震惊,没有人提到我之前使用过安全备份。这是否意味着我应该将简历提交给您的人事部门?

评论


什么安全备份?一个聪明,邪恶的管理员将在两年前安装后门程序。

–雅各布伯格
2011年1月23日21:30

原始数据的死数据备份和可执行文件的安装过程。同样,后门的备份也是证据。

– XTL
2012年3月20日14:11在

#18 楼

尝试以他的观点。

您知道您的系统及其作用。因此,即使您不再是系统管理员,也可以尝试想象从外部进行连接的发明方法。

取决于网络基础结构的工作方式和所有这些工作原理,您是最好的

但是您似乎在尝试过的bofh上讲话时,必须在附近到处搜索...

网络跟踪

由于主要目标是通过网络连接来远程控制系统,因此您可以监视(甚至替换,因为它也可能会损坏!)防火墙并尝试识别每个活动的防火墙。连接。

更换防火墙将无法确保全面保护,但请确保没有任何隐藏物。因此,如果您监视防火墙转发的数据包,则必须查看所有内容,包括不需要的流量。

您可以使用tcpdump跟踪所有内容(例如美国偏执狂;)并使用高级工具(例如wireshark)浏览转储文件。花一些时间看一下此命令的内容(需要100Gb磁盘可用空间):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &


不要相信所有内容

即使您会发现某些东西,您将无法确定自己被发现完全是坏东西!

最后,在重新安装一切(从可信赖的来源)之前,您不会真正安静!)

#19 楼

如果您无法重做服务器,那么下一个最好的办法就是尽可能多地锁定防火墙。遵循每个可能的入站连接,并确保将其减少到绝对最小值。

更改所有密码。

替换所有ssh密钥。

#20 楼

通常它很难...

,但是如果它是一个网站,请查看登录按钮后面的代码。

我们发现了“ if username ='admin “”一次输入内容...

#21 楼

从本质上讲,使以前的IT人员的知识变得毫无价值。

在不影响IT基础架构的情况下更改所有可以更改的内容。

改变供应商或使其多样化是另一种好的做法。

评论


我不明白供应商与这个问题的关系。

–约翰·加迪尼尔(John Gardeniers)
2010年8月19日上午11:09

因为供应商可能是朋友,或者可能与以前的IT团队有联系。如果您保留相同的供应商并更改其他所有内容,则可能会冒险通知旧的IT团队并使所有内容变得一文不值。我是根据以前的经验写的。

– lrosa
10年8月24日在17:32

好吧,除非您将私钥交给了供应商,否则不确定先前的IT团队会从中得到什么:“正如您所说,鲍勃,他们生成了新密钥,新密码,并关闭了所有从外部的访问权限?嗯。[打开Mac笔记本电脑,运行nmap;键入两秒钟]好的,我参加了。 (切!)

– Piskvor离开了建筑物
2010年8月25日在7:09



这不仅是外围访问的问题,还是内部IT基础架构的问题。假设您要进行基于社会工程的攻击:了解内部结构非常方便(米特尼克规则)。

– lrosa
2010年8月26日13:33