我开始为一家因泄漏数据而解雇了前IT员工的公司工作。
我只能说以下话:
我们将Firebird DB与由另一家公司Proxmox编写的应用程序,用于Windows Server 2008 R2,SQL Server,云核心Mikrotik路由器和其他一些Mikrotik设备的虚拟化。
我不确定100%,但是有一些快速的方法来检查是否还有一些后门程序,而又不中断内部流程和重新格式化所有内容?
以前的那个家伙真的很好,他用C ++和C#编写了软件。我也知道他做了一些汇编程序,并在ollydbg中破解了一些程序。
#1 楼
绝对可以确定的唯一方法是擦拭每个系统,然后从头开始重新安装。您还需要审核所有本地生成的软件和配置,以确保它们不包含后门程序。这是一项不平凡的任务,带来不小的成本。除此之外,您无能为力。
很显然,您在决定要做什么时
审核所有防火墙规则的有效性
审核所有帐户的有效性
审核所有sudoers文件的有效性
更改所有密码和密钥
,但这只是表面上的问题。
评论
确实。完整的代码审核是唯一可以确保的方法-了解每一行代码的功能。添加一些打开外壳程序的“特殊” URL并将其隐藏在模糊的应用程序逻辑中是很简单的。扫描,重新引导或检查配置文件的数量都无法检测到,更不用说修复了。
–蜘蛛鲍里斯(Boris)
17年1月25日在14:01
注意:“从头安装”实际上是指从头开始。从官方网站(最好是通过安全连接)和完全不同的网络,获得他可能没有接触过的新机器,并使用该机器为您使用的所有操作系统和软件下载新的安装文件。如果无法在线找到正确的安装程序,请在使用任何现有文件之前对其使用校验和。
– Nzall
17年1月25日在14:04
考虑到这个家伙本来可以进行的所有物理访问,您可能需要检查异常或意外的硬件。
– user2357112支持Monica
17年1月25日在17:52
如果您必须使用该人编写的软件,并且已经完成了完整的代码审核,则重新编译,因为您仍然不能确定所拥有的二进制文件完全来自于审核的源代码。
–罗伯特
17年1月25日在18:03
“从轨道上震撼整个站点,这是唯一可以确保的方法”
– Beldaz
17年1月27日,3:30
#2 楼
首先,被解雇的系统管理员的最重要目标是清理自己的过去,尤其是当这是由于信誉不良而引起的。如果要对他以前的系统发动攻击,他将无计可得(特别是没有他的旧工作),但他可能会损失很多。我曾多次面对过类似的恐惧,但我认为这些恐惧在很大程度上是没有根据的。我认为,如果您向他提出一些问题,他很有可能会很友好并为您提供帮助(然后您应该向老板提起这个问题)。现在考虑一下这种不太可能发生的情况,他真的想做有害的事情。磁盘等)。
备份完成后,他就再也无法遮盖音轨了。如果发生恶意攻击,它将作为证据。
您永远不能百分百确定(除非重新安装整个网络)。您可以通过检查清单,但不能确保已检查所有内容。
即使您发现了一个孔,也无法证明它已放在其中故意地。注意,软件开发人员也存在相同的问题。不好的工作不是刑事罪行,例如,您不能证明他“忘记了”故意更改默认的数据库管理员密码。或者,由他“自己”设置了密码的用户被“偶然地”授予了连接到您的机密数据库所需的特权。
在大多数情况下,系统中最重要的部分不是操作系统,而是操作系统上管理的数据。如果此数据是私人数据和客户财产,则尤其如此。他可能早在上一个工作日之前就已经窃取了它们,对其进行了加密并将其保存在只有他知道的地方。因此,请确保还检查是否有痕迹,表明他在离开之前已经复制了您的数据。请注意,尽管他“正确地”做到了,但您什么也找不到。
评论
我喜欢您的回答,并尝试使其更自然地阅读。如果您不同意我的修改,请随时回滚。
–现实
17年1月27日在10:03
#3 楼
@JonasWielicki将此问题与我们的规范安全问题之一(如何处理受损的服务器)进行了比较。我支持这个问题,但是有一个重要的区别。在这个问题上,服务器被认为是受到威胁的。据我了解,这个问题尚未解决。因此,我不确定我们是否还需要打破喷火器。
人们一直离开组织,没有任何不好的事情发生,即使他们在恶劣的条件下离开了。仅仅擅长编程,这就是您在问题OP中向我们展示的所有“证据”,并不意味着某人本身就是黑客,也不意味着他们离开后可能会攻击您。
如果您真的很担心,那么我建议您雇用一家外部安全公司来审核您的系统。这不仅有望揭露前sysadmin可能遗留的任何小意外,而且它还将成为解决所有安全问题和未来关注的良好基准。
评论
请注意,peterh提出了如何从上一个IT人员那里搜索后门?作为可能的副本,与我如何处理受感染的服务器相比,IMO会更好地匹配吗?
–用户
17年1月26日在15:58
@MichaelKjörling我同意这样做会更好。我认为这个问题与“从后门搜身”到足以生存的问题截然不同,即使答案是相似的。
–罗布·莫尔
17年1月26日在16:00
实际上,我对于两人是否涵盖同一领域并不确定。寻找后门是消除后门的明显第一步。一旦找到,具体步骤将根据后门的类型而有所不同。
–用户
17年1月26日在16:07
@MichaelKjörling我要说的第一步远非显而易见。正如最高答案所显示的那样,到目前为止,最常见的策略是假定所有内容都已被污染,并进行擦拭,重新安装等,而无需花费任何精力去寻找后门。
– jwg
17年1月27日,11:30
#4 楼
确保没有后门的唯一方法就是像您所说的那样破坏系统。如果这不可能完全实现,请
考虑基准安全配置,并以此来分析当前配置。
验证所有suid程序。
分析所有正在运行的进程。
在系统上执行端口扫描,以识别开放的端口和服务。
定期监视所有出站和入站连接并查找恶意连接。
/>
#5 楼
您将需要确定自己的意愿。成本效益永远不会因从轨道上受骗而获得回报。管理人员是否要求保证,或者您只是想对继承的系统进行合理的检查?他们是。他们愿意为“非常确定”安顿下来吗?也许您可以跟随被解雇的人来从事新工作!
如果您想研究自己的系统,我将首先建立一个网络监视系统,例如snort。寻找意想不到的流量,例如“
为什么系统每天都在与俄罗斯的一台服务器通信?”或“为什么人们在我的Web服务器上进行IRC?” (那件事发生在我身上)。
我认为@peterh关于制作大档案的建议是一个非常好的主意。我也认为他关于被解雇的人有帮助的建议是完全现实的。事实证明,像这样的问题在90%的时间内都是愚蠢的管理。
#6 楼
您应该对当前的功能和使用情况进行审核,但老实说,您应该从头开始。意思是,不仅要“从轨道上捣乱”,还要记下所有核心功能和要求,例如(例如)可能需要在防火墙上为框打开哪些端口,IP地址或主机名限制以及诸如此类的杂乱的“管道”。 ,请运行一些测试以确认如果切换后功能是否相同,然后安排维护以进行正式切换:这意味着将数据从旧设置复制到新设置,然后切换包装箱上的IP来接管旧IP。旧盒子或其他需要访问才能连接到新设置的系统。
但是,即使这样做,您也可能无法信任数据库中的数据,但至少在这种情况下,核心系统已移至更稳定,更“合理”的位置,因此您拥有了更清洁的起点。
您还提到了以前的I.T.人们能够使用汇编器和C ++进行编程。我的问题是:为什么?审核可能存在的任何自定义代码并评估其功能。因为尽管其他人可能已经“看中”了他们的编程技能,但谁知道他们是否用C ++编写了某些东西,例如可以很容易地用Python或Bash / Batch脚本重新创建的东西。如今,我遇到了许多C ++程序员,他们在使用更简单的工具来实现同等功能时确实过度使用了C ++代码。但是最终,从头开始重建架构。可能是唯一且最安全的方法。
评论
从轨道上进行裸体是昂贵的,这意味着需要数月的工作,并且很可能会出现很多稳定性问题。特别是在大公司中,允许的停机时间基本上为零。
–peterh-恢复莫妮卡
17年1月27日在21:53
#7 楼
首先,每个人都更改其密码。其次,您需要保护防火墙及其直接连接的任何东西的安全。随时随地更改所有密码。
如果他无法通过防火墙,则他将不得不依靠建立与他的连接的方式,并使返回变得更加困难。
您将必须了解有关防火墙,规则和配置的所有知识,并逐行检查它们是否属于不属于您的内容。即使这样,您最好还是购买一台新路由器,然后手动转移配置。验证对配置的每次更改都是正确的,而不是后门,并且仍然需要更改。这是清除系统残留物的最佳时机。
评论
许多密码被深深地硬编码到源和配置资源中。特别是那些属于内部服务的。如果系统很复杂,通常他们甚至找不到全部。通常甚至都不知道它是本质上的密码(嗯...凭证令牌),例如配置文件中的128位六进制代码,并深深地压缩到.jar文件中。
–peterh-恢复莫妮卡
17年1月27日在21:50
#8 楼
考虑:他本可以将后门安装到引导区中。您可能需要一个新的硬盘驱动器和主板,具体取决于他对后门持久性有多出色和谨慎程度。而且,根据他的所作所为,您可能必须将所有数据都留在后面。如果是我决定做什么,那么我就不会看这个人提供有关他可能做了什么的线索。如果您希望将这些数据库中存储的数据隐藏起来,我将承担可能造成损害的风险。如果您想要一个按风险分类的简洁工具,那么加拿大军方会采用一种相当简洁的方法表示:
受数据保护的“ A”-可以在不使用同一系统的情况下对个人造成重大损害而不会损害他人的数据。
受保护的“ B”-数据可以对超过1个人造成重大破坏,但仍然仅限于将数据存储在同一系统中的人,而不会损害承载数据的组织的风险。
受保护的“ C”-如果用不正确的方式对国家安全,组织范围的安全或“根”访问整个数据库(存储的数据)可能造成相同的广泛破坏,则构成威胁。
因此,如果您的数据库中包含个人信息,并且您的服务器属于一个实体,该实体对人们负责对该数据保密, zh_cn我会丢弃所有可以存储数据并重新开始的内容。在大多数情况下,这是一笔不菲的费用,但如果有可能提起诉讼,则首先请律师就可以了。寻找专门研究数据安全的律师。这类事情的法律可能非常混乱,因此最好找一个经验丰富的律师,或者只是浪费硬件并重新开始。
希望这很有用。祝您好运,很遗憾得知您的困境。
评论
评论不作进一步讨论;此对话已移至聊天。