您如何从以前的 IT 人员那里搜索后门？

Question

您如何从以前的 IT 人员那里搜索后门？

我们都知道它会发生。一个脾气暴躁的老 IT 人在系统和网络中留下了后门，以便与新人一起玩乐并向公司展示没有他的情况有多糟糕。

我从来没有亲身经历过这种情况。我经历过的最多的就是有人在离开之前打破并偷了东西。不过，我确定这会发生。

那么，在接管一个不太可信的网络时，应该采取哪些步骤来确保一切安全可靠？

Answer 1

真的，真的，真的很难。它需要非常完整的审计。如果你非常确定老人留下了一些东西会爆炸，或者需要他们重新雇用因为他们是唯一可以灭火的人，那么是时候假设你已经被一个敌对的政党。把它当作一群黑客进来偷东西一样对待，你必须清理他们的烂摊子。因为就是这样。

审核每个系统上的每个帐户，以确保它与特定实体相关联。
似乎与系统相关但无人能够解释的帐户是不可信的。
需要清除与任何内容无关的帐户（无论如何都需要这样做，但在这种情况下尤其重要）
更改他们可能接触到的任何和所有密码。
对于实用程序帐户来说，这可能是一个真正的问题，因为这些密码往往会被硬编码到事物中。
如果他们是响应最终用户呼叫的帮助台类型，则假设他们拥有所帮助的任何人的密码。
如果他们拥有 Active Directory 的企业管理员或域管理员，假设他们在离开之前获取了密码哈希的副本。现在可以如此快速地破解这些密码，以至于需要在几天内强制更改全公司范围的密码。
如果他们拥有对任何 *nix 框的 root 访问权限，则假设他们带着密码散列走了。
检查所有公钥 SSH 密钥的使用情况以确保它们的密钥被清除，并在您使用时审核是否有任何私钥被暴露。
如果他们可以访问任何电信设备，请更改任何路由器/交换机/网关/PBX 密码。这可能是一个真正的皇家痛苦，因为这可能涉及重大中断。
全面审核您的周边安全安排。
确保所有防火墙漏洞都可以追溯到已知的授权设备和端口。
确保所有远程访问方法（VPN、SSH、BlackBerry、ActiveSync、Citrix、SMTP、IMAP、WebMail 等）都没有附加额外的身份验证，并针对未经授权的访问方法对它们进行全面审查。
确保远程 WAN 链接可追踪到全职人员，并对其进行验证。尤其是无线连接。你不希望他们带着公司付费的手机调制解调器或智能手机离开。联系所有此类用户以确保他们拥有正确的设备。
全面审计内部特权访问安排。这些是诸如 SSH/VNC/RDP/DRAC/iLO/IMPI 对一般用户没有的服务器的访问权限，或对工资单等敏感系统的任何访问权限。
与所有外部供应商和服务提供商合作，确保联系正确。
确保将他们从所有联系人和服务列表中删除。无论如何，这应该在任何离开后完成，但现在尤为重要。
验证所有联系人都是合法的并拥有正确的联系信息，这是为了找到可以被冒充的鬼魂。
开始寻找逻辑炸弹。
检查所有自动化（任务调度程序、cron 作业、UPS 呼叫列表或任何按计划运行或由事件触发的东西）是否有邪恶迹象。“全部”是指全部。检查每一个 crontab。检查监控系统中的每一个自动化操作，包括探针本身。检查每个 Windows 任务计划程序；甚至工作站。除非你在一个高度敏感的领域为政府工作，否则你将无法负担“所有”，尽你所能。
验证每台服务器上的关键系统二进制文件，以确保它们是它们应有的样子。这很棘手，尤其是在 Windows 上，而且在一次性系统上几乎不可能追溯。
开始寻找 Rootkit。根据定义，它们很难找到，但有扫描仪可以做到这一点。

需要在非常高的水平上做出开始对这个令人难以置信的范围进行审计的决定。将此视为潜在刑事案件的决定将由您的法律团队做出。如果他们选择先进行一些初步调查，那就去做吧。开始寻找。

如果发现任何证据，请立即停止。

一旦发现可能的情况，立即通知您的法律团队。
届时将作出将其作为刑事案件处理的决定。
未经训练的人（您）采取的进一步行动可能会破坏证据，而您不希望那样，除非您希望罪犯自由行走。
如果聘请了外部安全专家，您就是他们的本地专家。与他们一起工作，朝着他们的方向前进。他们了解证据的法律要求，而您不了解。
安全专家、您的管理层和法律顾问之间将进行大量谈判。这是意料之中的，与他们合作。

但是，真的，你必须走多远？这就是风险管理发挥作用的地方。简单地说，这是一种平衡预期风险与损失的方法。系统管理员做到这一点，当我们决定这我们要把异地备份位置; 银行保险箱与区域外数据中心。弄清楚这份清单需要遵循多少是风险管理的一项练习。

在这种情况下，评估将从以下几点开始：

离职人员的预期技能水平
离去的访问
期望作恶
任何邪恶的潜在损害
报告实施的邪恶与预先发现的邪恶的监管要求。通常你必须报告前者，而不是后者。

决定在上述兔子洞下潜多深将取决于这些问题的答案。对于对邪恶的期望非常轻微的日常管理员离职，不需要完整的马戏团；更改管理员级别的密码并重新键入任何面向外部的 SSH 主机可能就足够了。同样，企业风险管理安全态势决定了这一点。

对于因故被解雇的管理员，或者在他们正常离开后突然出现的邪恶，马戏团变得更加需要。最坏的情况是偏执的 BOFH 型，他们被告知他们的职位将在 2 周内被裁员，因为这给了他们充足的准备时间；在这种情况下，凯尔提出的慷慨遣散费的想法可以缓解各种问题。在收到一张包含 4 个月工资的支票后，即使是偏执狂也可以原谅很多罪过。该检查的成本可能低于发现其邪恶所需的安全顾问的成本。

但最终，它归结为确定是否作恶的成本与实际作恶的潜在成本。

很好的答案。此外，不要忘记删除离职员工作为服务提供商和供应商的授权联系人。域名注册商。互联网服务提供商。电信公司。确保所有这些外部方都知道该员工不再被授权进行任何更改或讨论公司的账目。 (46认同)
+1 - 今天关于审计系统二进制文件的最新技术非常糟糕。计算机取证工具可以帮助您验证二进制文件上的签名，但是随着不同二进制版本的激增（尤其是在 Windows 上，每个月都会发生所有更新），很难想出一个令人信服的场景，您可以接近 100%二进制验证。（如果可以的话，我会给你 +10，因为你已经很好地总结了整个问题。这是一个难题，尤其是如果没有划分和分离工作职责的情况下。） (22认同)
其中两个在理论上是可能的：“了解量子力学”、“检查所有自动化是否有邪恶迹象”、“在 10 公里高处跳下飞机并幸存” (3认同)
+++ 回复：更改服务帐户密码。无论如何，这应该被彻底记录下来，所以如果你要完成你的工作，这个过程是加倍重要的。 (2认同)
@Joe H.：不要忘记独立于生产基础设施验证所述备份的内容。备份软件可能被木马化。（我的一个客户有一个独立安装他们的 LOb 应用程序的第三方，该第三方负责恢复备份，将它们加载到应用程序中，并验证备份生成的财务报表与生产系统生成的财务报表相匹配。漂亮荒野...） (2认同)
“以上所有内容甚至可能无法用公司资产完成，这将需要聘请安全顾问来完成其中的一些工作。” - 当然，可能是*这种*暴露导致妥协。这种级别的审计需要极低级别的系统访问权限 - 并且需要*知道*如何隐藏事物的个人。 (2认同)
还要记得更换所有门上的锁，这样在你清理烂摊子的时候和之后，这个人就无法进入。 (2认同)

Answer 2

Kyl*_*ndt 100

我会说这是您有多少关注与您愿意支付的钱之间的平衡。

非常担心：
如果您非常担心，那么您可能需要聘请外部安全顾问从外部和内部角度对所有内容进行全面扫描。如果这个人特别聪明，你可能会遇到麻烦，他们可能有一些东西会休眠一段时间。另一种选择是简单地重建一切。这听起来可能非常过分，但您将很好地了解环境，并且您还将进行灾难恢复项目。

轻度担心：
如果您只是轻度担心，您可能只想：

从外部进行端口扫描。
病毒/间谍软件扫描。Linux 机器的 Rootkit 扫描。
查看防火墙配置中的任何您不理解的内容。
更改所有密码并查找任何未知帐户（确保他们没有激活不再在公司工作的人，以便他们可以使用该帐户等）。
这也可能是考虑安装入侵检测系统 (IDS) 的好时机。
比平时更仔细地观察日志。

面向未来：
继续前进，当管理员离开时给他一个愉快的聚会，然后当他喝醉时就送他回家——然后将他扔到最近的河流、沼泽或湖泊中。更严重的是，这是为管理员提供丰厚遣散费的充分理由之一。您希望他们尽可能多地离开时感觉良好。即使他们不应该感觉良好，谁在乎？，把它吸起来，让他们开心。假装这是你的错，而不是他们的错。失业保险和遣散费增加的成本无法与他们可能造成的损害相提并论。这都是关于阻力最小的路径，并尽可能少地创造戏剧性。

+1 - 这是一个实用的答案，我喜欢基于风险/成本分析的讨论（因为它就是这样）。Sysadmin1138 的回答更全面一点：“橡胶遇到道路”，但不一定进入风险/成本分析，事实上，大部分时间，你必须将一些假设放在一边，因为“太偏僻的”。（这可能是错误的决定，但没有人有无限的时间/金钱。） (12认同)
@Kyle：那应该是我们的小秘密... (5认同)
+1 对于 BOFH 的建议。 (4认同)
死人开关，凯尔。我们把它们放在那里以防我们离开一段时间 :) “我们”，我的意思是，呃，他们？ (4认同)

Answer 3

Mar*_*ars 20

不要忘记 Teamviewer、LogmeIn 等之类的...我知道这已经提到过，但是每个服务器/工作站的软件审计（许多应用程序）不会受到伤害，包括使用 nmap 的子网扫描NSE 脚本。

Answer 4

PP.*_*PP. 18

首先要做的事 - 对异地存储（例如磁带或您断开连接并放入存储的硬盘）上的所有内容进行备份。这样，如果发生恶意事件，您也许可以稍微恢复一下。

接下来，梳理您的防火墙规则。任何可疑的开放端口都应该关闭。如果有后门，那么阻止访问它会是一件好事。

用户帐户 - 查找您心怀不满的用户并确保尽快删除他们的访问权限。如果有 SSH 密钥、/etc/passwd 文件或 LDAP 条目，甚至 .htaccess 文件，都应该被扫描。

在您的重要服务器上寻找应用程序和活动侦听端口。确保连接到它们的正在运行的进程看起来是合理的。

最终，一个意志坚定、心怀不满的员工可以做任何事情——毕竟，他们了解所有内部系统。人们希望他们有不采取消极行动的诚信。

但是不要忘记您刚刚备份的内容可能包括 root 的应用程序/配置/数据等。 (3认同)

Answer 5

War*_*ner 18

一个运行良好的基础设施将拥有适当的工具、监控和控制，以在很大程度上防止这种情况发生。这些包括：

适当的网络分段和防火墙
基于主机的 IDS
基于网络的 IDS
中央日志记录
访问控制
换控制模式

如果这些工具正确到位，您将有一个审计跟踪。否则，您将不得不执行完整的渗透测试。

第一步是审核所有访问权限并更改所有密码。专注于外部访问和潜在的切入点——这是你最好花时间的地方。如果外部足迹不合理，则消除或缩小它。这将使您有时间专注于内部的更多细节。还要注意所有出站流量，因为程序化解决方案可能会在外部传输受限数据。

最终，作为系统和网络管理员将允许完全访问大多数（如果不是全部）内容。随之而来的是高度的责任感。不应掉以轻心雇用具有这种责任的人，应采取措施从一开始就将风险降至最低。如果聘用了专业人士，即使离职条件不佳，他们也不会采取不专业或非法的行为。

Server Fault 上有很多详细的帖子，涵盖了正确的系统审计以确保安全以及在某人被终止的情况下该怎么做。这种情况并非独一无二。

Answer 6

小智 16

聪明的 BOFH 可以执行以下任何操作：

在众所周知的端口上启动 netcat 出站连接以获取命令的定期程序。例如端口 80。如果做得好，来回流量将显示该端口的流量。因此，如果在端口 80 上，它将具有 HTTP 标头，并且有效负载将是嵌入在图像中的块。
在特定位置查找要执行的文件的非周期性命令。位置可以是用户计算机、网络计算机、数据库中的额外表、临时假脱机文件目录。
检查一个或多个其他后门是否仍然存在的程序。如果不是，则安装其上的变体，并将详细信息通过电子邮件发送给 BOFH
由于现在备份的大部分工作都是通过磁盘完成的，因此请修改备份以至少包含一些根工具包。

保护自己免受此类事情的方法：

当 BOFH 班员工离开时，在 DMZ 中安装一个新盒子。它获取通过防火墙的所有流量的副本。在此流量中查找异常。后者很重要，特别是如果 BOFH 擅长模仿正常的流量模式。
重做您的服务器，以便将关键的二进制文件存储在只读媒体上。也就是说，如果你想修改 /bin/ps，你必须到机器上，将一个开关从 RO 物理移动到 RW，重启单用户，重新挂载那个分区 rw，安装你的新 ps 副本，同步，重启，拨动开关。以这种方式完成的系统至少有一些受信任的程序和一个受信任的内核，用于做进一步的工作。

当然，如果您使用的是窗户，那您就麻烦了。

划分您的基础设施。对中小型公司不合理。

防止这种事情的方法。

仔细审查申请人。
找出这些人是否心存不满，并提前解决人事问题。
当您解雇具有这些权力的管理员时，馅饼就会变甜：

一种。他的薪水或他薪水的一小部分会持续一段时间，或者直到 IT 人员无法解释的系统行为发生重大变化。这可能呈指数衰减。例如，他得到全额工资6个月，其中80％为6个月，80％的认为在未来6个月。

湾他的部分薪酬以股票期权的形式出现，在他离开后的一到五年内不会生效。当他离开时，这些选项不会被删除。他有动力确保公司在 5 年内运行良好。

Answer 7

小智 14

令我震惊的是，甚至在管理员离开之前问题就存在。只是那个时候更注意问题。

-> 需要一个过程来审核每一个更改，而这个过程的一部分是更改仅通过它来应用。

我很好奇你们是如何执行这种流程的？ (5认同)

Answer 8

Lap*_*006 13

有一个大的，每个人都被排除在外。

请记住，不仅仅是系统。

供应商是否知道该人不在员工中，不应被允许访问（科罗拉多州，电信公司）
是否有任何可能具有单独密码的外部托管服务（exchange、crm）
反正他们有勒索材料吗（好吧，这开始有点……）

Answer 9

小智 12

确保在他们离开后告诉公司中的每个人。这将消除社会工程攻击向量。如果公司很大，那么确保需要知道的人知道。

如果管理员还负责编写代码（公司网站等），那么您还需要进行代码审计。

Answer 10

emt*_*unc 9

除非你真的很偏执，否则我的建议只是运行几个 TCP/IP 扫描工具（tcpview、wireshark 等），看看是否有任何可疑的尝试与外界联系。

更改管理员密码并确保没有不需要的“其他”管理员帐户。

另外，不要忘记更改无线访问密码并检查您的安全软件设置（尤其是 AV 和防火墙）

好的，但要小心被动地监听奇怪的东西，因为当运行“TRUNCATE TABLE customer”时你可能会眨眼：P (5认同)

Answer 11

小智 9

检查您的服务器（以及它们直接工作的计算机）上的日志。不仅要查找他们的帐户，还要查找不是已知管理员的帐户。寻找日志中的漏洞。如果最近在服务器上清除了事件日志，则可疑。

检查 Web 服务器上文件的修改日期。运行快速脚本以列出所有最近更改的文件并查看它们。

检查 AD 中所有组策略和用户对象的上次更新日期。

验证所有备份都在工作，并且现有备份仍然存在。

检查您运行卷影复制服务的服务器是否丢失以前的历史记录。

我已经看到列出了很多好东西，只是想添加这些您可以快速检查的其他东西。对所有内容进行全面审查是值得的。但从最近更改的地方开始。其中一些事情可以快速检查，并可以提出一些早期的危险信号来帮助你。

Answer 12

Zor*_*che 7

我建议你从外围开始。验证您的防火墙配置，确保您没有意外的网络入口点。确保网络物理安全，防止他重新进入并访问任何计算机。

验证您是否拥有完全可用且可恢复的备份。如果他确实做了一些破坏性的事情，好的备份将防止您丢失数据。

检查允许通过边界的任何服务，并确保他已被拒绝访问。确保这些系统具有良好的工作日志记录机制。

Answer 13

小智 7

基本上，我会说，如果你有一个称职的 BOFH，你就注定要失败......有很多方法可以安装炸弹，但不会被注意到。如果你的公司被用来弹射被解雇的“manu-military”，请确保在裁员前将炸弹安好！！！

最好的方法是尽量减少愤怒的管理员的风险......避免“裁员以削减成本”（如果他是一个有能力和恶毒的BOFH，你可能遭受的损失可能会比你从中得到的更大裁员）......如果他犯了一些不可接受的错误，最好让他修复它（无偿）作为裁员的替代......下次他会更加谨慎，不再重复错误（这将增加在他的价值）...但一定要达到好的目标（通常，无能的人有良好的魅力拒绝他们自己的过错给能干但不太社交的人）。

如果你在最坏的意义上面对真正的 BOFH（这种行为是裁员的原因），你最好准备从头开始重新安装他接触过的所有系统（这可能意味着每台计算机）。

不要忘记，单个位的更改可能会使整个系统遭受严重破坏......（setuid 位，如果进位则跳转到如果没有进位则跳转，......）甚至编译工具也可能已被破坏。

Answer 14

小智 7

祝他好运，如果他真的知道任何事情并提前设置好任何东西。即使是一个傻瓜也可以在断开连接的情况下给电信公司打电话/发电子邮件/传真，甚至要求他们在白天在电路上运行完整的测试模式。

说真的，在离开时表现出一点爱和一些隆重确实可以降低风险。

哦，是的，如果他们打电话来“获取密码或其他东西”，请提醒他们您的 1099 费率以及每次通话的 1 小时分钟和 100 次旅行费用，无论您是否必须在任何地方......

嘿，那和我的行李一样！1、2、3、4！

Answer 15

dmp*_*dmp 6

删除所有内容，重新开始;)

嗯......是的......最好的解决方案......也很难说服管理层重做一切。活动目录。交换。SQL。共享点。即使对于 50 名用户来说，这也不是一项小任务……对于 300 多名用户来说，就更不用说了。 (2认同)
哇，系统管理员是明智的，谁能预料到。虽然您的想法具有技术价值，但它很少实用或可行。 (2认同)

Answer 16

小智 5

烧掉它……烧掉它。

这是唯一确定的方法。

然后，烧掉你所有的外部利益、域名注册商、信用卡支付提供商。

再想一想，也许更容易让任何 Bikie 伙伴说服个人他们不打扰你更健康。

确定的*唯一*方法是从轨道上核弹它 (3认同)

归档时间：	15 年，2 月前
查看次数：	63486 次
最近记录：	5 年，4 月前