web-dev-qa-db-ja.com

以前のIT労働者は、おそらくいくつかの裏口を残しました。どうすれば削除できますか?

私は以前のIT労働者をデータ漏えいで解雇した会社で働き始めました。

私は次のことしか言えません。

Windows Server 2008 R2、SQL Server、クラウドコアMikrotikルーター、およびその他のいくつかのMikrotikデバイスの仮想化には、Firebird DBを他社のProxmoxが作成したアプリケーションと共に使用します。

100%確実ではありませんが、内部プロセスを中断したりすべてを再フォーマットしたりせずに、バックドアが残っているかどうかをすばやく確認する方法はありますか?

この以前の人は本当に良かった、C++とC#でソフトウェアを書いた。私はまた、彼がアセンブラを実行し、ollydbgでいくつかのプログラムをクラックしたことも知っています。

67
user2265690

確実に確認する唯一の方法は、すべてのシステムをきれいに拭き取り、最初から再インストールすることです。また、ローカルで生成されたすべてのソフトウェアと構成を監査して、バックドアが含まれていないことを確認する必要があります。これは重要なタスクであり、重要なコストが伴います。

それを超えると、あなたができることはほとんどありません。

明らかに、あなたが何をすべきかを決定している間

  • すべてのファイアウォールルールの有効性を監査する
  • すべてのアカウントの有効性を監査する
  • すべてのsudoersファイルの有効性を監査する
  • すべてのパスワードとキーを変更する

しかし、それは表面を傷つけているだけです。

109
user9517

まず、解雇されたシステム管理者の最も重要な目標は、特にそれが悪い状態の出発であった場合、彼の過去を片付けることです。彼の以前のシステムへの攻撃が発生した場合、彼は何も(特に彼の古い仕事ではない)得ることはできませんが、たくさんを失う可能性があります。私は何度も同様の恐怖に直面していますが、私の考えでは、それらは主に根拠のないものです。もしあなたが彼にいくつかの質問を投げかけたとしたら、彼は非常に素晴らしく、あなたに役立つでしょう(それからあなたは次に上司に言及すべきです)。


ここで、彼が本当に何か有害なことをしたいという非常にまれなケースを考えてみましょう。

ネットワーク全体のアーカイブをいくつかの-彼にとって-到達不可能な場所に作成します(彼の責任からファイアウォールの背後、ロックされたキャビネット内のハードディスクなど)。

このバックアップを作成するとすぐに、彼はトラックをカバーできなくなります。不正な攻撃の場合、それは証拠となります。


100%確実であるとは限りません(ネットワーク全体の再インストールの場合を除く)。チェックリストを通過することはできますが、すべてをチェックしたことを確信することはできません。

たとえ穴を見つけたとしても、それが故意にそこに置かれたことを証明することはできません。ソフトウェア開発者にも同じ問題が存在することに注意してください。悪い仕事は犯罪ではありません。たとえば、意図的にデフォルトのデータベース管理者パスワードを変更することを彼が「忘れた」ことを証明することはできません。または、パスワードが彼によって設定されたユーザーに、「誤って」、極秘データベースに接続するために必要な特権が付与されました。


ほとんどの場合、システムの最も重要な部分はOSではなく、OSで管理されるデータです。このデータがプライベートデータであり、顧客の資産である場合は特にそうです。彼は最後の就業日のずっと前にそれらを盗み、それらを暗号化し、彼だけが知っている場所にそれらを保存した可能性があります。そのため、彼が去る前に彼があなたのデータのコピーを作成したことを示す痕跡がないか確認してください。ただし、彼が「適切に」それを行った場合、何も見つからないことに注意してください。

@JonasWielickiはこの質問を私たちの標準的なセキュリティの質問の1つと比較しました( 侵害されたサーバーの扱い方 )。私はthatの質問に対する私の答えを待機していますが、重要な違いがあります。

その質問では、サーバーは危険にさらされている既知でした。私が理解している限りthisこの場合確立されていない質問。そのため、火炎放射器を破壊する必要があるかどうかはまだわかりません。

人々は、たとえ悪い条件に置かれていても、何も悪いことが起こらずにいつでも組織を離れます。単にプログラミングが得意であるということは、OPで示したすべての「証拠」ですが、誰かがそれ自体ハッカーであるという意味ではなく、彼らが去ったために攻撃する可能性が高いという意味でもありません。

あなたが本当に心配なら、私はあなたのシステムを監査するために外部のセキュリティ会社を雇うことを勧めます。以前のシステム管理者によって残された可能性のある小さな驚きを明らかにするだけでなく、今後のすべてのセキュリティ問題や懸念の良いベースラインとしても役立ちます。

15
Rob Moir

バックドアが存在しないことを確認する唯一の方法は、あなたが言ったようにシステムを無力化することです。

それが完全に可能ではない場合、

  1. ベースラインの安全な構成を検討し、現在の構成の分析はそれから逸脱しています。
  2. すべてのsuidプログラムを確認します。
  3. 実行中のすべてのプロセスを分析します。
  4. システムでポートスキャンを実行して、開いているポートとサービスを識別します。
  5. すべてのアウトバウンドおよびインバウンド接続を定期的に監視し、不正な接続を探します。
12
hax

あなたはあなたがどのようになりたいかを決定する必要があるでしょう。費用対効果が軌道からの核兵器に行き渡ることは決してありません。

マネージャーは保証を要求していますか、それとも、継承したシステムについて妥当な調査を行っているだけですか?

それがマネージャーである場合、今度はあなたは彼らがいかに合理的であるかを知るようになります。彼らは「かなり確実」に落ち着いて進んでいますか?多分あなたは彼の新しい仕事に解雇された男をフォローすることができます!

自分のシステムを調べたい場合は、snortなどのネットワーク監視システムの設定から始めます。 「なぜシステムは毎日ロシアのこの1つのサーバーと通信しているのですか?」のような予期しないトラフィックを探します。または「なぜ人々はIRCをしているのですか?」(それは私に起こりました)。

@peterhが大きなアーカイブを作成することについての提案は本当に良い考えだと思います。私はまた、解雇された男が役に立ったという彼の提案は完全に現実的だと思います。このような問題は、90%の確率で愚かな管理であることが判明します。

10
Dylan Martin

現在の機能と使用状況の監査を行う必要がありますが、正直なところ、ゼロから始める必要があります。

つまり、「軌道からそれを核にする」だけでなく、すべてのコア機能と要件(たとえば、ボックスでファイアウォールで開いている必要があるポート、IPアドレスまたはホスト名の制限、および雑貨など)を書き留めます。そのような配管。

次に、表示された内容に基づいて新しい環境を再作成し、いくつかのテストを実行して、スイッチオーバーしても機能が同じであることを確認し、メンテナンスをスケジュールして正式なスイッチオーバーを実行します。つまり、古いセットアップから新しいセットアップにデータをコピーしてから、IPをオンにしますボックスを使用して古いボックスから古いIPを引き継ぐか、新しいセットアップに接続するためにアクセスが必要な他のシステムをセットアップします。

ただし、そうした場合でも、データベース内のデータを信頼できない可能性がありますが、少なくともこのような場合は、コアシステムがより安定した「正常」なものに移動されるため、よりクリーンになります。出発点。

また、以前のI.T.人々はアセンブラとC++でプログラミングすることができました。私の質問は次のとおりです。なぜですか。そのため、存在する可能性のあるカスタムコードの監査を行い、機能を評価します。他の人々可能性があるはプログラミングスキルが「おもしろい」のですが、C++で何かをプログラミングしたかどうかを知っている人は、たとえば、次のように簡単に再作成できますPython =またはBash/Batchスクリプト。単純なツールを使用して同等の機能を実現できる場合に、C++コードを実際に使いすぎている多くのC++プログラマーに最近会っています。

しかし、結局のところ、アーキテクチャをゼロから再構築することが、唯一かつ最も安全な方法かもしれません。

7
JakeGould

最初に、全員がパスワードを変更します。次に、ファイアウォールとそれに直接接続するすべてのものを保護する必要があります。どこでもすべてのパスワードを変更します。

彼がファイアウォールを通過できない場合、彼は何かへの接続を確立することに依存しなければならず、はるかに困難に戻る必要があります。

ファイアウォール、ルール、および構成についてのすべてを学び、属していないものについて行ごとにチェックする必要があります。それでも、新しいルーターを入手し、手動で構成を転送するほうがよい場合があります。構成に対する各変更がバックドアではなく、両方とも正しいこと、およびそれがまだ必要であることを確認します。これは、システムの残骸をきれいにする絶好の機会です。

2
cybernard