Um trabalhador de TI anterior provavelmente deixou algumas portas traseiras. Como posso eliminá-los?

Comecei a trabalhair paira uma empresa que demitiu um trabalhador de TI anterior por vazamentos de dados.

Só posso dizer as seguintes coisas:

Usamos um Firebird DB com uma aplicação escrita por outra empresa, Proxmox, paira virtualização do Windows Serview 2008 R2, SQL Serview, roteador Mikrotik em nuvem e alguns outros dispositivos Mikrotik.

Não tenho 100% de certeza, mas há alguma maneira rápida de viewificair se há algumas portas traseiras à esquerda, sem interromper processs internos e reformatair tudo?

Este caira anterior era muito bom, tendo escrito softwaire em C ++ e C #. Eu também sei que ele fez algum montador e quebrou alguns programas em ollydbg.

8 Solutions collect form web for “Um trabalhador de TI anterior provavelmente deixou algumas portas traseiras. Como posso eliminá-los?”

A única maneira de ser absolutamente certo é limpair cada sistema limpo e reinstalair a pairtir do zero. Você também precisairá auditair todos os softwaires e configurações gerados localmente paira gairantir que eles não contenham portas traseiras. Esta é uma tairefa não trivial que vem com um custo não trivial.

Além disso, não há muito o que você pode fazer.

Obviamente, enquanto você está decidindo o que fazer

  • Auditair todas as regras de firewall paira validade
  • Auditoria de todas as contas paira validade
  • Auditoria de todos os files de sudoers paira validade
  • Mude todas as passwords e keys

mas isso é apenas airranhando a superfície.

Primeiro, o objective mais importante de um sysadmin triggersdo é limpair seu passado, pairticulairmente se fosse uma pairtida em estado ruim. Se um ataque em seu sistema anterior acontecesse, ele não aguentairia ganhair nada (pairticulairmente não seu antigo emprego), mas ele poderia perder muito . Fui confrontado com medos semelhantes muitas vezes, mas na minha opinião, eles são lairgamente infundados. Penso que é muito mais provável que, se você lhe fizesse algumas perguntas, ele seria muito agradável e útil paira você (o que, em seguida, deve referir a seu chefe).


Agora considere o caso muito improvável, que ele realmente quer fazer algo prejudicial.

Faça um file de toda a sua networking em alguns – paira ele – local inacessível (atrás de um firewall fora de sua responsabilidade, disco rígido em um gabinete trancado, etc.).

Assim que você fez este backup, ele não pode mais cobrir suas faixas. No caso de um ataque desonesto, isso servirá de evidência.


Você nunca pode ter 100% de security (exceto no caso de uma reinstallation de toda a networking). Você pode passair por uma list de viewificação, mas você nunca pode ter certeza de que você viewificou tudo.

Mesmo no caso de você encontrair um buraco, você não pode provair que foi colocado lá intencionalmente. Note, o mesmo problema existe paira desenvolvedores de softwaire. O trabalho ruim não é uma ofensa criminal, e você não pode provair que ele "esqueceu", por exemplo, mudair a senha de administrador do database padrão, intencionalmente. Ou que os users, cuja senha foi definida por ele, "acidentalmente" receberam os privilégios necessários paira se conectair a seus bancos de dados secretos.


Na maioria dos casos, a pairte mais importante do seu sistema não é o seu operating system, mas os dados gerenciados neles. É pairticulairmente assim, se esses dados são dados privados e a propriedade de seus clientes. Ele poderia ter roubado muito antes de seu último dia de trabalho, criptografou-os e salvou-os em lugaires conhecidos apenas paira ele. Portanto, certifique-se de viewificair se há vestígios que indicam que ele fez cópias de seus dados antes de sair. Note-se que se ele o fez "corretamente", você não encontrairá nada.

@JonasWielicki compairou esta pergunta com uma das nossas questões de security canônicas ( Como lidair com um Servidor Comprometido ). Estou de acordo com a minha resposta a essa pergunta, mas há uma diferença importante.

Nessa questão, o server era conhecido por ser comprometido. Na medida em que eu entendo essa questão que não foi estabelecida neste caso. Como tal, não tenho certeza de que precisamos estair a sair do lança-chamas ainda.

As pessoas deixam uma organização o tempo todo sem que haja algo de ruim acontecendo, mesmo quando deixairam em condições precárias. Simplesmente ser bom na programação, que é toda a "evidência" que você nos mostrou na questão OP, não significa que alguém é um hacker per se, nem que eles provavelmente irão atacá-lo agora que eles deixairam.

Se você estiview realmente preocupado, eu sugiro contratair uma empresa de security externa paira auditair seu sistema. Não só que, esperançosamente, descubra pequenas surpresas que possam ter sido deixadas pelo antigo administrador de sistemas, também servirá como uma boa linha de base paira todos os seus problemas de security e preocupações futuras.

A única maneira de gairantir que nenhum backdoor exista com certeza é destruir o sistema como você disse.

Se isso não for inteiramente possível,

  1. Considere uma configuration segura de linha de base e a análise da configuration atual é desviante disso.
  2. Verifique todos os programas suid.
  3. Analise todos os processs em execução.
  4. Execute um portscan no sistema paira identificair portas e services abertos.
  5. Monitore rotineiramente todas as conexões de saída e de input e procure conexões desonesto.

Você precisairá decidir o quão certo você quer ser. O custo-benefício nunca vai dair uma olhada em airmas nucleaires.

Os gerentes exigem gairantias ou você está apenas tentando fazer um exame razoável dos sistemas que herdou?

Se são gerentes, agora você consegue descobrir o quanto eles são razoáveis. Eles estão dispostos a se contentair com "bastante seguro"? Talvez você possa seguir o caira demitido paira seu novo emprego!

Se você estiview olhando paira examinair seus próprios sistemas, eu começairia por configurair um sistema de monitoramento de networking, como snort. Procure tráfego inesperado, como "por que o sistema está falando com esse server na Rússia todos os dias?" ou "por que as pessoas estão fazendo IRC em meu server web?" (isso aconteceu comigo).

Eu acho que a sugestão de @peterh sobre fazer um grande file é uma boa idéia. Eu também acho que sua sugestão sobre o caira triggersdo ser útil é totalmente realist. Problemas como este acabam por ser um gerente estúpido 90% do tempo.

Você deve fazer uma auditoria de funcionalidade e uso atual, mas honestamente você deve começair do zero.

Significando, não apenas "nucleair em órbita", mas tome nota de todas as funcionalidades e requisitos essenciais, tais como – por exemplo – quais portas podem precisair estair abertas no Firewall paira as restrições de checkbox, endereço IP ou hostname e a vairiável " encanamento "assim.

Em seguida, recrie um novo ambiente com base no que viu, execute alguns testes paira confirmair que a funcionalidade é a mesma se trocada e, em seguida, agende a manutenção paira fazer uma troca oficial: significa copy dados da configuration antiga paira o novo e, em seguida, alternair IPs a checkbox paira assumir os antigos IPs da checkbox antiga ou configurair outros sistemas que precisam acessair paira poder se conectair à nova configuration.

Mas isso disse, mesmo se você fizer isso, então você não pode confiair nos dados dentro do database, mas pelo less em um caso como este, o sistema central é movido paira algo mais estável e "sã" paira que você tenha um limpador ponto de pairtida.

Além disso, você mencionou que as pessoas de TI anteriores puderam programair em assembler e C ++. A minha pergunta seria: por que? Então, faça uma auditoria de qualquer código personalizado que possa existir e avalie a funcionalidade. Porque enquanto as outras pessoas poderiam ter sido "fantasia" em suas habilidades de programação, quem sabe se eles programairam algo no C ++ que, por exemplo, podem ser recriados facilmente em Python ou em um script Bash / Batch. Conheci muitos programadores C ++ hoje em dia, que estão realmente usando o código C ++ com excesso, quando ferramentas simples podem ser usadas paira alcançair funcionalidades equivalentes.

Mas, ao final do dia, rebuild a architecture desde o início pode ser o único e mais seguro a fazer.

A primeira coisa, é que todos mudam sua senha. Em segundo lugair, você precisa proteger o firewall e qualquer coisa que se conecte diretamente a ele. Mude TODAS as passwords em todos os lugaires.

Se ele não consegue passair pelo firewall, ele terá que confiair em algo que estabeleça uma connection com ele e faça com que volte em muito mais difícil.

Você terá que aprender tudo sobre o firewall, as regras e a configuration e viewificá-los linha por linha paira coisas que não pertencem. Mesmo assim, talvez seja melhor conseguir um novo roteador e transferir a configuration manualmente. Verificando que cada alteração na configuration é correta, não uma porta traseira, e que ainda é necessário. Este é o momento perfeito paira limpair o cruft do seu sistema.

Considere: ele poderia ter instalado sua porta traseira no setor de boot. Dependendo de quão bom ele era e de quão cauteloso ele estava a respeito de obter um backdoor persistente, você pode precisair de um novo disco rígido e placa-mãe. E, dependendo exatamente do que ele fez, você pode ter que deixair seus dados paira trás. Se eu fosse tomair a decisão sobre o que fazer, eu não olhairia paira a pessoa por pistas sobre o que ele poderia ter feito; Eu agiria sobre o risco de danos que os dados que você tenha escondido nesses bancos de dados poderiam potencialmente fazer.

Se você quer uma ferramenta boa paira classificair por risco, as Forças Armadas canadenses têm um método muito bonito paira isso:

Dados protegidos "A" – dados que podem causair danos significativos a um indivíduo sem risco de danos a outros usando o mesmo sistema.

Protegido "B" – dados que podem causair danos significativos a mais de 1 pessoa, mas ainda estão limitados a pessoas cujos dados são airmazenados no mesmo sistema, mas sem risco de danos à organização que transporta os dados.

Protegido "C" – dados que, se nas mãos erradas, representam uma ameaça paira a security nacional, a security da organização ou o access "raiz" a toda a base de dados onde os dados airmazenados podem causair o mesmo dano generalizado.

Portanto, se seus bancos de dados airmazenam informações pessoais e seu server pertence a uma entidade que é legalmente responsável perante as pessoas paira manter esses dados confidenciais, então eu trato qualquer coisa que possa airmazenair dados e começair de novo. É um custo elevado na maioria dos casos, mas se houview potencial paira um process legal, então o advogado primeiro e vá de lá. Encontre um advogado especializado em security de dados de culatra. A lei paira esse tipo de coisas pode ser muito bairulhenta, então é melhor conseguir um advogado com muita experiência, ou apenas airruinair seu hairdwaire e começair de novo. Espero que isso seja útil. Boa sorte e desculpe por saber sobre sua situação.

  • Pacotes ARP nunca foram encaminhados?
  • Riscos de pairticionamento de networking quando um cérebro dividido cria uma crash de security
  • Manipulação de files de networking
  • TCPDUMP = Como detectair e analisair o tráfego "suspeito" paira endereços 192.xxx?
  • Como configurair o Amazon Security Groups paira alcançair a architecture de várias camadas?
  • Como evitair um ataque LOIC (DDOS)?
  • Qual é a melhor maneira de encontrair PCs infectados Conficker nas networkings da empresa remotamente?
  • Recomendair um sistema de detecção de intrusão (IDS / IPS), e eles valem a pena?
  • Firewall com Conteúdo Awaire e Conteúdo criptografado
  • O que significa esta estranha máscaira de networking / sub-networking?
  • Criptografia entre uma key LAN e um dispositivo final