以前的IT工作者可能留下了一些后门。如何消除它们？ [重复]

#1 楼

绝对可以确定的唯一方法是擦拭每个系统，然后从头开始重新安装。您还需要审核所有本地生成的软件和配置，以确保它们不包含后门程序。这是一项不平凡的任务，带来不小的成本。

除此之外，您无能为力。

很显然，您在决定要做什么时


审核所有防火墙规则的有效性
审核所有帐户的有效性
审核所有sudoers文件的有效性
更改所有密码和密钥

，但这只是表面上的问题。

#2 楼

首先，被解雇的系统管理员的最重要目标是清理自己的过去，尤其是当这是由于信誉不良而引起的。如果要对他以前的系统发动攻击，他将无计可得（特别是没有他的旧工作），但他可能会损失很多。我曾多次面对过类似的恐惧，但我认为这些恐惧在很大程度上是没有根据的。我认为，如果您向他提出一些问题，他很有可能会很友好并为您提供帮助（然后您应该向老板提起这个问题）。


现在考虑一下这种不太可能发生的情况，他真的想做有害的事情。磁盘等）。

备份完成后，他就再也无法遮盖音轨了。如果发生恶意攻击，它将作为证据。


您永远不能百分百确定（除非重新安装整个网络）。您可以通过检查清单，但不能确保已检查所有内容。

即使您发现了一个孔，也无法证明它已放在其中故意地。注意，软件开发人员也存在相同的问题。不好的工作不是刑事罪行，例如，您不能证明他“忘记了”故意更改默认的数据库管理员密码。或者，由他“自己”设置了密码的用户被“偶然地”授予了连接到您的机密数据库所需的特权。


在大多数情况下，系统中最重要的部分不是操作系统，而是操作系统上管理的数据。如果此数据是私人数据和客户财产，则尤其如此。他可能早在上一个工作日之前就已经窃取了它们，对其进行了加密并将其保存在只有他知道的地方。因此，请确保还检查是否有痕迹，表明他在离开之前已经复制了您的数据。请注意，尽管他“正确地”做到了，但您什么也找不到。

#3 楼

@JonasWielicki将此问题与我们的规范安全问题之一（如何处理受损的服务器）进行了比较。我支持这个问题，但是有一个重要的区别。

在这个问题上，服务器被认为是受到威胁的。据我了解，这个问题尚未解决。因此，我不确定我们是否还需要打破喷火器。

人们一直离开组织，没有任何不好的事情发生，即使他们在恶劣的条件下离开了。仅仅擅长编程，这就是您在问题OP中向我们展示的所有“证据”，并不意味着某人本身就是黑客，也不意味着他们离开后可能会攻击您。

如果您真的很担心，那么我建议您雇用一家外部安全公司来审核您的系统。这不仅有望揭露前sysadmin可能遗留的任何小意外，而且它还将成为解决所有安全问题和未来关注的良好基准。

#4 楼

确保没有后门的唯一方法就是像您所说的那样破坏系统。

如果这不可能完全实现，请


考虑基准安全配置，并以此来分析当前配置。
验证所有suid程序。
分析所有正在运行的进程。
在系统上执行端口扫描，以识别开放的端口和服务。
定期监视所有出站和入站连接并查找恶意连接。
/>

#5 楼

您将需要确定自己的意愿。成本效益永远不会因从轨道上受骗而获得回报。

管理人员是否要求保证，或者您只是想对继承的系统进行合理的检查？他们是。他们愿意为“非常确定”安顿下来吗？也许您可以跟随被解雇的人来从事新工作！

如果您想研究自己的系统，我将首先建立一个网络监视系统，例如snort。寻找意想不到的流量，例如“
为什么系统每天都在与俄罗斯的一台服务器通信？”或“为什么人们在我的Web服务器上进行IRC？” （那件事发生在我身上）。

我认为@peterh关于制作大档案的建议是一个非常好的主意。我也认为他关于被解雇的人有帮助的建议是完全现实的。事实证明，像这样的问题在90％的时间内都是愚蠢的管理。

#6 楼

您应该对当前的功能和使用情况进行审核，但老实说，您应该从头开始。

意思是，不仅要“从轨道上捣乱”，还要记下所有核心功能和要求，例如（例如）可能需要在防火墙上为框打开哪些端口，IP地址或主机名限制以及诸如此类的杂乱的“管道”。 ，请运行一些测试以确认如果切换后功能是否相同，然后安排维护以进行正式切换：这意味着将数据从旧设置复制到新设置，然后切换包装箱上的IP来接管旧IP。旧盒子或其他需要访问才能连接到新设置的系统。

但是，即使这样做，您也可能无法信任数据库中的数据，但至少在这种情况下，核心系统已移至更稳定，更“合理”的位置，因此您拥有了更清洁的起点。

您还提到了以前的I.T.人们能够使用汇编器和C ++进行编程。我的问题是：为什么？审核可能存在的任何自定义代码并评估其功能。因为尽管其他人可能已经“看中”了他们的编程技能，但谁知道他们是否用C ++编写了某些东西，例如可以很容易地用Python或Bash / Batch脚本重新创建的东西。如今，我遇到了许多C ++程序员，他们在使用更简单的工具来实现同等功能时确实过度使用了C ++代码。但是最终，从头开始重建架构。可能是唯一且最安全的方法。

#7 楼

首先，每个人都更改其密码。
其次，您需要保护防火墙及其直接连接的任何东西的安全。随时随地更改所有密码。

如果他无法通过防火墙，则他将不得不依靠建立与他的连接的方式，并使返回变得更加困难。

您将必须了解有关防火墙，规则和配置的所有知识，并逐行检查它们是否属于不属于您的内容。即使这样，您最好还是购买一台新路由器，然后手动转移配置。验证对配置的每次更改都是正确的，而不是后门，并且仍然需要更改。这是清除系统残留物的最佳时机。

#8 楼

考虑：他本可以将后门安装到引导区中。您可能需要一个新的硬盘驱动器和主板，具体取决于他对后门持久性有多出色和谨慎程度。而且，根据他的所作所为，您可能必须将所有数据都留在后面。如果是我决定做什么，那么我就不会看这个人提供有关他可能做了什么的线索。如果您希望将这些数据库中存储的数据隐藏起来，我将承担可能造成损害的风险。

如果您想要一个按风险分类的简洁工具，那么加拿大军方会采用一种相当简洁的方法表示：

受数据保护的“ A”-可以在不使用同一系统的情况下对个人造成重大损害而不会损害他人的数据。

受保护的“ B”-数据可以对超过1个人造成重大破坏，但仍然仅限于将数据存储在同一系统中的人，而不会损害承载数据的组织的风险。

受保护的“ C”-如果用不正确的方式对国家安全，组织范围的安全或“根”访问整个数据库（存储的数据）可能造成相同的广泛破坏，则构成威胁。

因此，如果您的数据库中包含个人信息，并且您的服务器属于一个实体，该实体对人们负责对该数据保密， zh_cn我会丢弃所有可以存储数据并重新开始的内容。在大多数情况下，这是一笔不菲的费用，但如果有可能提起诉讼，则首先请律师就可以了。寻找专门研究数据安全的律师。这类事情的法律可能非常混乱，因此最好找一个经验丰富的律师，或者只是浪费硬件并重新开始。
希望这很有用。祝您好运，很遗憾得知您的困境。