Frage Wie suchen Sie nach Backdoors von der vorherigen IT-Person?


Wir alle wissen, dass es passiert. Ein bitterer alter IT - Typ verlässt ein Hintertür in das System und Netzwerk, um Spaß mit den neuen Jungs zu haben und der Firma zu zeigen, wie schlecht es ohne ihn läuft.

Ich habe das persönlich noch nie erlebt. Das Meiste, das ich erlebt habe, ist jemand, der kurz vor der Abreise etwas kaputt gemacht und gestohlen hat. Ich bin mir sicher, dass das passiert.

Wenn also ein Netzwerk übernommen wird, dem man nicht vertrauen kann, welche Schritte sollten unternommen werden, um sicherzustellen, dass alles sicher und geschützt ist?


355
2017-08-18 15:04


Ursprung


+1, ich mag diese Frage. Es ist meine unbeliebteste Sache, wenn ich mit einem neuen Kunden klarkomme, besonders wenn der letzte Kerl schlechte Konditionen hat. - DanBig
Die meisten Orte, die ich verlassen habe, meine nicht da zu sein und sagen "Tu das nicht" ist genug, um das Netzwerk herunter zu bringen. Ich muss keine Türen verlassen. - Paul Tomblin
@Paul, das deutet darauf hin, dass Sie nicht richtig dokumentiert haben. Hoffen wir, dass die neue (n) Person (en) diesen Teil ihrer Arbeit richtig machen. - John Gardeniers
@John, Ihre Benutzer und Mitarbeiter lesen Dokumentation? Wo kann ich einige davon bekommen? - Paul Tomblin
@Paul, Benutzer - nein, warum sollten sie? Mitarbeiter (vorausgesetzt, Sie meinen IT-Mitarbeiter) - ja. Das Lesen der Dokumente sollte der erste Schritt beim Starten eines neuen Jobs sein. - John Gardeniers


Antworten:


Es ist wirklich sehr, sehr, sehr schwer. Es erfordert ein sehr vollständiges Audit. Wenn du dir sicher bist, dass die alte Person etwas zurückgelassen hat, das boomt, oder ihre Wiedereinstellung verlangt, weil sie die einzige ist, die ein Feuer löschen kann, dann ist es an der Zeit anzunehmen, dass du von einem feindliche Partei. Behandle es wie eine Gruppe von Hackern, die reinkamen und Sachen stahlen, und du musst nach ihrem Durcheinander aufräumen. Weil es das ist.

  • Überprüfen Sie jedes Konto in jedem System, um sicherzustellen, dass es mit einer bestimmten Entität verknüpft ist.
    • Accounts, die scheinbar mit Systemen verbunden sind, aber niemandem Rechenschaft ablegen kann, sind misstrauisch.
    • Konten, die nicht mit etwas verbunden sind, müssen gelöscht werden (dies muss auf jeden Fall gemacht werden, ist aber in diesem Fall besonders wichtig)
  • Ändern Sie alle Passwörter, mit denen sie möglicherweise in Berührung gekommen sind.
    • Dies kann ein echtes Problem für Utility-Accounts sein, da diese Passwörter dazu neigen, in Dinge zu codieren.
    • Wenn es sich um einen Helpdesk-Typ handelt, der auf Anrufe von Endbenutzern reagiert, nehmen Sie an, dass sie das Passwort eines beliebigen Mitarbeiters haben.
    • Wenn sie Enterprise Admin oder Domain Admin in Active Directory haben, nehmen wir an, dass sie eine Kopie der Passwort-Hashes abgeholt haben, bevor sie gegangen sind. Diese können jetzt so schnell geknackt werden, dass eine unternehmensweite Passwortänderung innerhalb von Tagen erzwungen werden muss.
    • Wenn sie Root-Zugriff auf alle * nix-Boxen hatten, gehen sie davon aus, dass sie mit den Passwort-Hashes gegangen sind.
    • Überprüfen Sie alle SSH-Schlüssel für öffentliche Schlüssel, um sicherzustellen, dass ihre Schlüssel bereinigt werden, und überprüfen Sie, ob private Schlüssel verfügbar waren, während Sie gerade dabei waren.
    • Wenn sie Zugang zu einer Telekommunikationsausrüstung hatten, ändern Sie die Passwörter für Router / Switch / Gateway / PBX. Dies kann ein echter königlicher Schmerz sein, da dies zu erheblichen Ausfällen führen kann.
  • Überprüfen Sie Ihre Perimeter-Sicherheitsvorkehrungen vollständig.
    • Stellen Sie sicher, dass alle Firewall-Lücken zu bekannten autorisierten Geräten und Ports führen.
    • Stellen Sie sicher, dass für alle Fernzugriffsmethoden (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, was auch immer) keine zusätzliche Authentifizierung aktiviert ist, und überprüfen Sie sie vollständig auf nicht autorisierte Zugriffsmethoden.
    • Stellen Sie sicher, dass Remote-WAN-Links zu vollbeschäftigten Personen führen und verifizieren. Besonders drahtlose Verbindungen. Sie wollen nicht, dass sie mit einem bezahlten Mobiltelefon oder einem Handy der Firma gehen. Kontaktieren Sie alle diese Benutzer, um sicherzustellen, dass sie das richtige Gerät haben.
  • Interne privilegierte Zugangsregelungen vollständig prüfen. Dies sind Dinge wie SSH / VNC / RDP / DRAC / iLO / IMPI-Zugriff auf Server, die allgemeine Benutzer nicht haben, oder Zugang zu sensiblen Systemen wie Gehaltsabrechnung.
  • Arbeiten Sie mit allen externen Anbietern und Dienstleistern zusammen, um sicherzustellen, dass die Kontakte korrekt sind.
    • Stellen Sie sicher, dass sie aus allen Kontakt- und Servicelisten entfernt werden. Dies sollte sowieso nach jeder Abfahrt erfolgen, ist aber jetzt besonders wichtig.
    • Überprüfen Sie, ob alle Kontakte legitim sind und korrekte Kontaktinformationen haben. Dies dient dazu, Geister zu finden, die imitiert werden können.
  • Fang an, nach logischen Bomben zu suchen.
    • Überprüfen Sie alle Automatisierungen (Taskplaner, Cron-Jobs, UPS-Call-Out-Listen oder alles, was nach einem Zeitplan oder Ereignis ausgelöst wird) auf Zeichen des Bösen. Mit "Alle" meine ich alle. Überprüfen Sie jede einzelne Crontab. Überprüfen Sie jede einzelne automatisierte Aktion in Ihrem Überwachungssystem, einschließlich der Sonden selbst. Überprüfen Sie jeden einzelnen Windows Taskplaner. sogar Workstations. Wenn Sie nicht in einem hochsensiblen Bereich für die Regierung arbeiten, können Sie sich nicht "alles" leisten, tun Sie so viel wie möglich.
    • Überprüfen Sie die wichtigsten Systembinärdateien auf jedem Server, um sicherzustellen, dass sie so sind, wie sie sein sollten. Dies ist insbesondere unter Windows schwierig und bei einmaligen Systemen nahezu unmöglich.
    • Fang an, nach Rootkits zu suchen. Per Definition sind sie schwer zu finden, aber dafür gibt es Scanner.

Nicht leicht im geringsten, nicht einmal aus der Nähe. Die Kosten für all das zu rechtfertigen, kann wirklich schwierig sein, ohne einen eindeutigen Beweis dafür, dass der jetzige Ex-Admin tatsächlich böse war. Das Ganze ist nicht einmal mit Unternehmensvermögen machbar, was die Einstellung von Sicherheitsberatern erfordern würde, um einen Teil dieser Arbeit zu erledigen.

Wenn ein tatsächliches Übel entdeckt wird, insbesondere wenn das Böse in irgendeiner Art von Software steckt, sind geschulte Sicherheitsexperten die besten, um die Breite des Problems zu bestimmen. Dies ist auch der Punkt, an dem ein Strafverfahren beginnen kann, und Sie Ja wirklich wollen, dass Menschen, die im Umgang mit Beweisen geschult sind, diese Analyse durchführen.


Aber wirklich, wie weit musst du gehen? Das ist wo Risikomanagement kommt ins Spiel. Vereinfacht gesagt ist dies die Methode, das erwartete Risiko gegen Verluste auszugleichen. Sysadmins tun dies, wenn wir uns entscheiden welche Off-Site-Standort, den wir Backups legen möchten; Banksafe gegen ein Rechenzentrum außerhalb der Region. Herauszufinden, wie viel von dieser Liste benötigt wird, ist eine Übung im Risikomanagement.

In diesem Fall beginnt die Bewertung mit ein paar Dingen:

  • Das erwartete Geschicklichkeitsniveau der Verstorbenen
  • Der Zugang der Verstorbenen
  • Die Erwartung, dass das Böse getan wurde
  • Der potentielle Schaden eines Bösen
  • Regulatorische Anforderungen für die Meldung von begangenem Übel versus präventiv gefundenes Übel. Im Allgemeinen müssen Sie das erstere, aber nicht das spätere melden.

Die Entscheidung, wie weit das oben genannte Kaninchenloch zu tauchen ist, hängt von den Antworten auf diese Fragen ab. Für routinemäßige Abgänge, bei denen die Erwartung des Bösen sehr gering ist, ist der volle Zirkus nicht erforderlich; Das Ändern von Passwörtern auf Administratorebene und das erneute Eingeben von SSH-Hosts mit externer Ausrichtung ist wahrscheinlich ausreichend. Dies wird wiederum durch die Sicherheitslage des Unternehmensrisikomanagements bestimmt.

Für Admins, die aus wichtigem Grund gekündigt wurden, oder das Böse nach ihrer ansonsten normalen Abreise aufgetaucht ist, wird der Zirkus mehr gebraucht. Das Worst-Case-Szenario ist ein paranoider BOFH-Typ, dem mitgeteilt wurde, dass seine Position innerhalb von zwei Wochen außer Kraft gesetzt wird, da dies ihnen genügend Zeit gibt, sich fertig zu machen; unter Umständen wie diesen Kyles Idee eines großzügigen Abfindungspakets kann alle Arten von Problemen mildern. Sogar Paranoiden können eine Menge Sünden vergeben, nachdem ein Scheck mit 4 Monatsgehalt eintrifft. Dieser Scheck wird wahrscheinlich weniger kosten als die Kosten der Sicherheitsberater, die benötigt werden, um ihr Böses herauszufinden.

Letztendlich geht es jedoch um die Kosten, um zu bestimmen, ob das Böse getan wurde, im Gegensatz zu den potenziellen Kosten, die durch das Bösen entstehen könnten.


329
2017-08-18 15:40



+1 - Der Stand der Technik in Bezug auf Auditing-System-Binärdateien ist heute ziemlich schlecht. Computer-Forensik-Tools können Ihnen helfen, Signaturen auf Binärdateien zu überprüfen, aber mit der Verbreitung von verschiedenen Binärversionen (insbesondere unter Windows, was mit all den Aktualisierungen jeden Monat passiert) ist es ziemlich schwierig, ein überzeugendes Szenario zu entwickeln, bei dem Sie sich 100% nähern können. Binärüberprüfung. (Ich würde +10 Sie, wenn ich könnte, weil Sie das gesamte Problem ziemlich gut zusammengefasst haben. Es ist ein hartes Problem, besonders wenn es keine Aufspaltung und Trennung der Arbeitspflichten gab.) - Evan Anderson
+++ Re: Ändern von Dienstkontokennwörtern. Dies sollte ohnehin gründlich dokumentiert werden, daher ist dieser Prozess doppelt wichtig, wenn Sie von Ihrer Arbeit erwartet werden. - Kara Marfia
@Joe H .: Vergessen Sie nicht, den Inhalt des Backups unabhängig von der Produktionsinfrastruktur zu verifizieren. Die Backup-Software könnte trojanisiert werden. (Einer meiner Kunden hatte einen Drittanbieter mit einer unabhängigen Installation seiner LOb-Anwendung, die beauftragt wurde, Backups wiederherzustellen, sie in die App zu laden und zu überprüfen, ob die aus dem Backup generierten Abschlüsse mit denen des Produktionssystems übereinstimmten wild...) - Evan Anderson
Gute Antwort. Vergessen Sie auch nicht, den ausgeschiedenen Mitarbeiter als autorisierten Ansprechpartner für Dienstleister und Lieferanten zu entfernen. Domain-Registrare. Internetanbieter. Telekommunikationsunternehmen. Stellen Sie sicher, dass all diese externen Parteien das Wort erhalten, dass der Mitarbeiter nicht mehr berechtigt ist, Änderungen vorzunehmen oder die Konten des Unternehmens zu besprechen. - Mox
"Das Ganze ist möglicherweise nicht einmal mit Unternehmensvermögen machbar, was die Einstellung von Sicherheitsberatern erfordern wird, um einen Teil dieser Arbeit zu erledigen." - natürlich kann es sein diese Exposition, die zu einem Kompromiss führt. Diese Auditstufe erfordert einen extrem niedrigen Systemzugriff - und von Personen, die kennt wie man Dinge versteckt. - MightyE


Ich würde sagen, es ist ein ausgewogenes Verhältnis zwischen dem, was Sie gegen das Geld haben, das Sie bereit sind zu zahlen.

Sehr besorgt:
Wenn Sie sehr besorgt sind, können Sie einen externen Sicherheitsberater beauftragen, um einen kompletten Scan von außen und von innen durchzuführen. Wenn diese Person besonders schlau ist, könntest du in Schwierigkeiten geraten, sie könnten etwas haben, das für eine Weile ruht. Die andere Möglichkeit besteht darin, einfach alles neu zu erstellen. Das hört sich vielleicht sehr übertrieben an, aber Sie werden die Umgebung gut lernen und auch ein Disaster Recovery-Projekt machen.

Mild besorgt:
Wenn Sie nur leicht betroffen sind, möchten Sie vielleicht nur tun:

  • Ein Port-Scan von außen.
  • Viren- / Spyware-Scan. Rootkit-Scan für Linux-Rechner.
  • Schauen Sie über die Firewall-Konfiguration nach allem, was Sie nicht verstehen.
  • Ändern Sie alle Passwörter und suchen Sie nach unbekannten Accounts (stellen Sie sicher, dass sie niemanden aktiviert haben, der nicht mehr bei der Firma ist, damit sie diese verwenden können).
  • Dies könnte auch ein guter Zeitpunkt für die Installation eines Intrusion Detection Systems (IDS) sein.
  • Beobachten Sie die Protokolle genauer als normalerweise.

Für die Zukunft:
Wenn ein Admin geht, geben Sie ihm eine schöne Party und dann, wenn er betrunken ist, bieten Sie ihm einfach eine Heimfahrt an - dann entsorgen Sie ihn im nächsten Fluss, Sumpf oder See. Im Ernst, dies ist einer der guten Gründe, den Admins eine großzügige Abfindung zu geben. Du möchtest, dass sie sich in Ordnung fühlen, so viel wie möglich zu verlassen. Selbst wenn sie sich nicht gut fühlen sollten, wen interessiert das ?, saugen sie auf und machen sie glücklich. Tu so, als ob es deine Schuld ist und nicht ihre. Die Kosten einer Kostenerhöhung für die Arbeitslosenversicherung und das Abfindungspaket sind nicht vergleichbar mit dem Schaden, den sie verursachen könnten. Hier geht es um den Weg des geringsten Widerstands und um möglichst wenig Dramatik.


98
2017-08-18 15:18



Antworten, die keinen Mord beinhalten, würden wahrscheinlich bevorzugt werden :-) - Jason Berg
+1 für den BOFH-Vorschlag. - jscott
@Kyle: Das sollte unser kleines Geheimnis sein ... - GregD
Totmann schaltet, Kyle. Wir legen sie für den Fall, dass wir für eine Weile weggehen :) Mit "wir", meine ich, äh, sie? - Bill Weiss
+1 - Es ist eine praktische Antwort, und ich mag die Diskussion basierend auf einer Risiko- / Kostenanalyse (weil es das ist, was es ist). Die Antwort von Sysadmin1138 ist ein wenig umfassender: Das "Gummi trifft die Straße", geht aber nicht unbedingt in die Risiko- / Kostenanalyse und die Tatsache, dass man einige Annahmen als "auch" beiseite legen muss Fernbedienung ". (Das ist vielleicht die falsche Entscheidung, aber niemand hat unendlich viel Zeit / Geld.) - Evan Anderson


Vergessen Sie nicht TeamViewer, LogmeIn, etc ... Ich weiß, dass dies bereits erwähnt wurde, aber eine Software-Audit (viele Apps da draußen) von jedem Server / Arbeitsplatz würde nicht schaden, einschließlich Subnetz (s) Scans mit nmap NSE-Skripts


19
2017-08-24 22:40





Als Erstes sollten Sie eine Sicherungskopie aller Daten auf dem externen Speicher erstellen (z. B. Band oder HDD, die Sie trennen und in den Speicher legen). Auf diese Weise können Sie, wenn etwas Schädliches passiert, etwas wiederherstellen.

Als nächstes durchkämmen Sie Ihre Firewall-Regeln. Alle verdächtigen offenen Ports sollten geschlossen werden. Wenn es eine Hintertür gibt, wäre es eine gute Sache, den Zugang zu ihr zu verhindern.

Benutzerkonten - suchen Sie nach Ihrem verärgerten Benutzer und stellen Sie sicher, dass sein Zugriff so schnell wie möglich aufgehoben wird. Wenn SSH-Schlüssel vorhanden sind, oder / etc / passwd-Dateien oder LDAP-Einträge, sogar .htaccess-Dateien, sollten alle gescannt werden.

Suchen Sie auf Ihren wichtigen Servern nach Anwendungen und aktiven Überwachungsports. Stellen Sie sicher, dass die damit verbundenen laufenden Prozesse sinnvoll erscheinen.

Schließlich kann ein entschlossener verärgerter Mitarbeiter alles tun - schließlich haben sie Kenntnis über alle internen Systeme. Man hofft, dass sie die Integrität haben, keine negativen Maßnahmen zu ergreifen.


18
2017-08-18 15:25



Sicherungskopien können auch wichtig sein, wenn etwas passiert, und Sie beschließen, mit der Strafverfolgung fortzufahren, also sollten Sie herausfinden, welche Regeln für die Beweisführung gelten, und sicherstellen, dass Sie ihnen folgen, nur für den Fall. - Joe H.
Aber vergessen Sie nicht, dass das, was Sie gerade gesichert haben, rooted apps / config / data usw. enthält. - Shannon Nelson
Wenn Sie Backups eines Root-Systems haben, haben Sie Beweise. - XTL


Eine gut funktionierende Infrastruktur wird über Instrumente, Überwachung und Kontrollen verfügen, um dies weitgehend zu verhindern. Diese schließen ein:

Wenn diese Werkzeuge ordnungsgemäß installiert sind, verfügen Sie über einen Prüfpfad. Sonst musst du einen Full durchführen Penetrationstest.

Der erste Schritt wäre, alle Zugriffe zu überprüfen und alle Passwörter zu ändern. Konzentrieren Sie sich auf externen Zugang und potenzielle Einstiegspunkte - hier verbringen Sie Ihre Zeit am besten. Wenn der äußere Fußabdruck nicht gerechtfertigt ist, eliminieren Sie ihn oder verkleinern Sie ihn. Dadurch können Sie sich auf mehr interne Details konzentrieren. Beachten Sie auch den gesamten ausgehenden Datenverkehr, da programmatische Lösungen eingeschränkte Daten extern übertragen können.

Letztendlich wird ein System- und Netzwerkadministrator den vollen Zugriff auf die meisten, wenn nicht alle Dinge ermöglichen. Damit einher geht eine hohe Verantwortung. Die Einstellung mit dieser Verantwortung sollte nicht auf die leichte Schulter genommen werden, und es sollten Schritte unternommen werden, um das Risiko von Anfang an zu minimieren. Wenn ein Fachmann angestellt wird, selbst wenn er schlechte Bedingungen hat, würden sie keine unprofessionellen oder illegalen Handlungen vornehmen.

Es gibt viele detaillierte Beiträge zu Server Fault, die die ordnungsgemäße Systemüberwachung für die Sicherheit sowie die Maßnahmen im Falle einer Kündigung abdecken. Diese Situation ist nicht einzigartig.


17
2017-08-18 15:31





Ein cleverer BOFH könnte Folgendes tun:

  1. Periodisches Programm, das eine ausgehende Netcat-Verbindung an einem bekannten Port initiiert, um Befehle entgegenzunehmen. Z.B. Port 80. Wenn gut gemacht, würde der Hin-und-Zurück-Verkehr den Anschein von Verkehr für diesen Port haben. Wenn es also an Port 80 wäre, hätte es HTTP-Header, und die Payload wäre in Bilder eingebettete Chunks.

  2. Ein aperiodischer Befehl, der an bestimmten Stellen nach Dateien sucht, die ausgeführt werden sollen. Orte können auf Benutzern Computern, Netzwerkcomputern, zusätzlichen Tabellen in Datenbanken, temporäre Spool-Dateiverzeichnisse sein.

  3. Programme, die prüfen, ob eine oder mehrere der anderen Hintertüren noch vorhanden sind. Ist dies nicht der Fall, wird eine Variante installiert und die Details werden per E-Mail an die BOFH gesendet

  4. Da die Backups jetzt auf Festplatte durchgeführt werden, sollten Sie die Backups so anpassen, dass sie mindestens einige Ihrer Root-Kits enthalten.

Möglichkeiten, sich vor so etwas zu schützen:

  1. Wenn ein Mitarbeiter der BOFH-Klasse verlässt, installieren Sie eine neue Box in der DMZ. Es erhält eine Kopie des gesamten Datenverkehrs, der die Firewall passiert. Suchen Sie nach Anomalien in diesem Verkehr. Letzteres ist nicht-trivial, insbesondere wenn das BOFH normale Verkehrsmuster gut nachahmen kann.

  2. Wiederholen Sie Ihre Server, damit wichtige Binärdateien auf schreibgeschützten Medien gespeichert werden. Das heißt, wenn Sie / bin / ps ändern möchten, müssen Sie zur Maschine gehen, einen Schalter von RO zu RW bewegen, einen einzelnen Benutzer neu starten, diese Partition rw neu installieren, Ihre neue Kopie von ps installieren, synchronisieren, neu starten, Kippschalter. Ein System, das auf diese Weise erstellt wurde, hat zumindest einige vertrauenswürdige Programme und einen vertrauenswürdigen Kernel für weitere Arbeiten.

Natürlich, wenn Sie Windows benutzen, werden Sie abgespritzt.

  1. Unterteilen Sie Ihre Infrastruktur. Nicht sinnvoll bei kleinen bis mittleren Unternehmen.

Möglichkeiten, solche Dinge zu verhindern.

  1. Vet Bewerber sorgfältig.

  2. Finden Sie heraus, ob diese Leute verärgert sind und beheben Sie die Personalprobleme vorzeitig.

  3. Wenn Sie einen Admin mit diesen Mächten entlassen, versüßen Sie den Kuchen:

    ein. Sein Gehalt oder ein Bruchteil seines Gehalts setzt sich für einen Zeitraum oder bis zu einer wesentlichen Änderung des Systemverhaltens fort, die von den IT-Mitarbeitern nicht erläutert wird. Dies könnte auf einem exponentiellen Verfall sein. Z.B. Er bekommt volle 6 Monate, 80% davon für 6 Monate, 80% davon Das für die nächsten 6 Monate.

    b. Ein Teil seiner Vergütung besteht aus Aktienoptionen, die nach seinem Ausscheiden für ein bis fünf Jahre nicht mehr in Kraft treten. Diese Optionen werden nicht entfernt, wenn er geht. Er hat einen Anreiz, dafür zu sorgen, dass das Unternehmen in 5 Jahren gut läuft.


16
2017-08-25 15:37



WTF ist ein BOFH ?? - Chloe
Chloe, BOFH steht für Bastard Operator from Hell, der ikonenhafte paranoid-wahnhafte meglomanische Soziopath Rogue Sysadmin, dass IT-Leute, die zu viel Zeit damit verbringen, jemandes Maus vom Boden aufzuheben, davon träumen, zu werden. Es gibt eine Reihe von Stories, die ursprünglich in alt.sysadmin.recovery at gestellt wurden bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
Je höher Ihr ServerFault-Score ist, desto höher sind Ihre Chancen, ein BOFH zu sein :-) - dunxd
"Natürlich, wenn Sie Fenster benutzen, werden Sie abgespritzt." Ich will das an meiner Wand. - programmer5000


Es fällt mir auf, dass das Problem existiert, noch bevor der Administrator geht. Es ist nur, dass man das Problem zu dieser Zeit mehr bemerkt.

-> Man benötigt einen Prozess, um jede Änderung zu überwachen, und ein Teil des Prozesses besteht darin, dass Änderungen nur durch diese Änderungen vorgenommen werden.


13
2017-08-24 22:55



Ich bin neugierig, wie Sie diesen Prozess durchsetzen? - Mr. Shiny and New 安宇
Dies ist ziemlich schwierig in einem kleinen Unternehmen (d. H. 1-2 Sys Admin Typ Leute) - Beep beep
Es ist ein Schmerz zu erzwingen, aber es ist durchsetzbar. Eine der großen Grundregeln ist, dass sich niemand nur an einer Box anmeldet und diese auch über Sudo verwaltet. Änderungen sollten über ein Konfigurationsverwaltungstool erfolgen oder im Kontext eines Ereignisses vom Typ "Feueranruf" erfolgen. Jede einzelne routinemäßige Systemänderung sollte durch Marionette, Cfengine, Chef oder ein ähnliches Tool erfolgen, und die gesamte Arbeit für Ihre Systemadministratoren sollte als versionsgesteuertes Repository für diese Skripts vorhanden sein. - Stephanie


Informieren Sie alle Mitarbeiter in der Firma, sobald sie gegangen sind. Dies wird den Social-Engineering-Angriffsvektor eliminieren. Wenn das Unternehmen groß ist, dann stellen Sie sicher, dass die Leute, die wissen müssen, wissen.

Wenn der Administrator auch für den geschriebenen Code verantwortlich war (Firmenwebsite usw.), müssen Sie ebenfalls eine Code-Prüfung durchführen.


12
2017-08-25 02:51





Es gibt einen großen, den alle auslassen.

Denken Sie daran, dass es nicht nur Systeme gibt.

  • Wissen Verkäufer, dass diese Person nicht angestellt ist und keinen Zugang haben soll (Colo, Telco)?
  • Gibt es externe gehostete Dienste, die separate Passwörter haben können (Exchange, CRM)?
  • Könnten sie sowieso Erpressungsmaterial haben (in Ordnung, das beginnt ein bisschen zu erreichen ...)

12
2017-08-25 11:08





Sofern Sie nicht wirklich paranoid sind, würde mein Vorschlag einfach mehrere TCP / IP-Scan-Tools (tcpview, wireshark usw.) laufen, um zu sehen, ob es verdächtige Versuche gibt, die Außenwelt zu kontaktieren.

Ändern Sie die Administratorkennwörter und stellen Sie sicher, dass keine zusätzlichen Administratorkonten vorhanden sind, die nicht vorhanden sein müssen.

Vergessen Sie auch nicht, die Kennwörter für den drahtlosen Zugriff zu ändern und Ihre Sicherheitssoftwareeinstellungen zu überprüfen (insbesondere AV und Firewall).


9
2017-08-18 15:23



+1 für die Änderung der Administratorkennwörter - PP.
Ok, aber hüte dich davor, passiv auf seltsame Sachen zu hören, denn dann könntest du blinzeln TRUNCATE TABLE customer läuft: P - Khai
Wenn es ein Rootkit gibt, könnte es Passwd-Änderungen mithören. - XTL


Überprüfen Sie die Protokolle Ihrer Server (und der Computer, an denen sie direkt arbeiten). Suchen Sie nicht nur nach ihrem Konto, sondern auch nach Konten, die keine bekannten Administratoren sind. Suchen Sie nach Löchern in Ihren Protokollen. Wenn kürzlich ein Ereignisprotokoll auf einem Server gelöscht wurde, ist dies vermutlich verdächtig.

Überprüfen Sie das Änderungsdatum der Dateien auf Ihren Webservern. Führen Sie ein Schnellskript aus, um alle kürzlich geänderten Dateien aufzulisten und sie zu überprüfen.

Überprüfen Sie das letzte aktualisierte Datum für alle Gruppenrichtlinien- und Benutzerobjekte in Active Directory.

Überprüfen Sie, ob alle Ihre Sicherungen funktionieren und die vorhandenen Sicherungen noch vorhanden sind.

Überprüfen Sie die Server, auf denen die Volumeschattenkopie-Dienste ausgeführt werden, dass der vorherige Verlauf fehlt.

Ich sehe bereits viele gute Dinge aufgelistet und wollte nur diese anderen Dinge hinzufügen, die Sie schnell überprüfen können. Es wäre es wert, eine vollständige Überprüfung von allem zu machen. Aber beginnen Sie mit den Orten mit den jüngsten Änderungen. Einige dieser Dinge können schnell überprüft werden und können einige frühe rote Flaggen auslösen, um Ihnen zu helfen.


9
2017-08-25 01:00