Làm thế nào để bạn tìm kiếm backreen từ người IT trước?

Chúng ta đều biết điều đó xảy ra. Một anh chàng IT già cay đắng để lại một cửa hậu vào hệ thống và mạng để vui vẻ với những người mới và cho công ty thấy những điều tồi tệ như thế nào khi không có anh ta.

Tôi chưa bao giờ cá nhân trải nghiệm điều này. Điều tôi từng trải qua nhất là ai đó đã phá vỡ và lấy trộm đồ ngay trước khi rời đi. Tôi chắc chắn điều này xảy ra, mặc dù.

Vì vậy, khi tiếp quản một mạng không đáng tin cậy, cần thực hiện các bước nào để đảm bảo mọi thứ đều an toàn và bảo mật?

Nó thực sự, thực sự, thực sự khó khăn. Nó đòi hỏi một cuộc kiểm toán rất đầy đủ. Nếu bạn rất chắc chắn rằng người cũ đã bỏ lại thứ gì đó sẽ bùng nổ hoặc yêu cầu họ thuê lại bởi vì họ là người duy nhất có thể dập lửa, thì đã đến lúc bạn cho rằng mình đã bị bắt rễ bởi đảng thù địch. Hãy đối xử với nó như một nhóm tin tặc đã đến và lấy trộm đồ đạc, và bạn phải dọn dẹp sau mớ hỗn độn của chúng. Bởi vì đó là những gì nó được.

• Kiểm tra mọi tài khoản trên mọi hệ thống để đảm bảo nó được liên kết với một thực thể cụ thể.
  • Các tài khoản dường như được liên kết với các hệ thống nhưng không ai có thể chiếm được sẽ bị nghi ngờ.
  • Các tài khoản không liên quan đến bất cứ điều gì cần phải được thanh trừng (dù sao việc này cũng cần phải được thực hiện, nhưng nó đặc biệt quan trọng trong trường hợp này)
• Thay đổi bất kỳ và tất cả mật khẩu mà họ có thể hình dung đã tiếp xúc với.
  • Đây có thể là một vấn đề thực sự đối với các tài khoản tiện ích vì những mật khẩu đó có xu hướng bị mã hóa cứng vào mọi thứ.
  • Nếu họ là loại người trợ giúp đáp ứng các cuộc gọi của người dùng cuối, giả sử họ có mật khẩu của bất kỳ ai họ hỗ trợ.
  • Nếu họ có Quản trị viên doanh nghiệp hoặc Quản trị viên tên miền cho Active Directory, giả sử họ đã lấy một bản sao băm mật khẩu trước khi họ rời đi. Chúng có thể bị bẻ khóa nhanh đến mức phải thay đổi mật khẩu toàn công ty trong vài ngày.
  • Nếu họ có quyền truy cập root vào bất kỳ hộp * nix nào, giả sử họ bỏ đi bằng băm mật khẩu.
  • Xem lại tất cả việc sử dụng khóa SSH khóa công khai để đảm bảo các khóa của chúng bị xóa và kiểm tra xem có bất kỳ khóa riêng nào bị lộ trong khi bạn sử dụng khóa đó không.
  • Nếu họ có quyền truy cập vào bất kỳ thiết bị viễn thông nào, hãy thay đổi bất kỳ mật khẩu bộ định tuyến / chuyển mạch / cổng / tổng đài nào. Đây có thể là một nỗi đau thực sự của hoàng gia vì điều này có thể liên quan đến việc mất điện đáng kể.
• Kiểm toán đầy đủ các sắp xếp an ninh chu vi của bạn.
  • Đảm bảo tất cả các lỗ tường lửa theo dõi các thiết bị và cổng được ủy quyền đã biết.
  • Đảm bảo tất cả các phương thức truy cập từ xa (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, bất cứ điều gì) không có xác thực bổ sung nào được xử lý và kiểm tra đầy đủ chúng cho các phương thức truy cập trái phép.
  • Đảm bảo liên kết mạng WAN từ xa theo dõi những người có việc làm đầy đủ và xác minh nó. Đặc biệt là kết nối không dây. Bạn không muốn họ rời đi với một modem điện thoại di động hoặc điện thoại thông minh trả tiền của công ty. Liên hệ với tất cả người dùng như vậy để đảm bảo họ có thiết bị phù hợp.
• Kiểm toán đầy đủ các thỏa thuận truy cập đặc quyền nội bộ. Đây là những thứ như truy cập SSH / VNC / RDP / DRAC / iLO / IMPI vào các máy chủ mà người dùng thông thường không có hoặc bất kỳ quyền truy cập nào vào các hệ thống nhạy cảm như bảng lương.
• Làm việc với tất cả các nhà cung cấp bên ngoài và nhà cung cấp dịch vụ để đảm bảo liên lạc là chính xác.
  • Đảm bảo chúng được loại bỏ khỏi tất cả các danh sách liên lạc và dịch vụ. Điều này nên được thực hiện sau khi bất kỳ khởi hành, nhưng bây giờ là rất quan trọng.
  • Xác thực tất cả các liên hệ là hợp pháp và có thông tin liên lạc chính xác, điều này là để tìm ma có thể được mạo danh.
• Bắt đầu săn lùng bom logic.
  • Kiểm tra tất cả tự động hóa (lập lịch tác vụ, công việc định kỳ, danh sách gọi ra của UPS hoặc bất cứ thứ gì chạy theo lịch trình hoặc được kích hoạt sự kiện) để tìm dấu hiệu xấu. "Tất cả" tôi có nghĩa là tất cả. Kiểm tra từng crontab. Kiểm tra mọi hành động tự động trong hệ thống giám sát của bạn, bao gồm cả các đầu dò. Kiểm tra mỗi Trình lập lịch tác vụ Windows duy nhất; thậm chí các máy trạm. Trừ khi bạn làm việc cho chính phủ ở một khu vực rất nhạy cảm, bạn sẽ không thể đủ khả năng "tất cả", hãy làm hết sức có thể.
  • Xác thực các nhị phân hệ thống chính trên mọi máy chủ để đảm bảo chúng là những gì chúng cần. Điều này là khó khăn, đặc biệt là trên Windows và gần như không thể thực hiện hồi tố trên các hệ thống một lần.
  • Bắt đầu săn tìm rootkit. Theo định nghĩa, chúng khó tìm, nhưng có máy quét cho việc này.

Không dễ dàng trong ít nhất, thậm chí không gần xa. Việc chứng minh chi phí của tất cả những điều đó có thể thực sự khó khăn mà không có bằng chứng chắc chắn rằng quản trị viên cũ thực sự là xấu xa. Toàn bộ những điều trên thậm chí không thể thực hiện được với tài sản của công ty, điều này sẽ yêu cầu thuê các chuyên gia tư vấn bảo mật để thực hiện một số công việc này.

Nếu cái ác thực sự được phát hiện, đặc biệt là nếu cái ác nằm trong một loại phần mềm nào đó, các chuyên gia bảo mật được đào tạo là tốt nhất để xác định chiều rộng của vấn đề. Đây cũng là điểm khi một vụ án hình sự có thể bắt đầu được xây dựng và bạn thực sự muốn những người được đào tạo xử lý bằng chứng thực hiện phân tích này.

Nhưng, thực sự, bạn phải đi bao xa? Đây là nơi quản lý rủi ro phát huy tác dụng. Nói một cách đơn giản, đây là phương pháp cân bằng rủi ro dự kiến ​​với tổn thất. Quản trị hệ thống làm điều này khi chúng ta quyết định mà off-site vị trí chúng ta muốn đặt bản sao lưu; hộp ký gửi an toàn ngân hàng so với trung tâm dữ liệu ngoài khu vực. Tìm hiểu bao nhiêu của danh sách này cần sau đây là một bài tập trong quản lý rủi ro.

Trong trường hợp này, việc đánh giá sẽ bắt đầu với một vài điều:

• Mức độ kỹ năng dự kiến ​​của người ra đi
• Quyền truy cập của người ra đi
• Kỳ vọng rằng cái ác đã được thực hiện
• Những thiệt hại tiềm tàng của bất kỳ tội ác
• Các yêu cầu quy định để báo cáo cái ác tồn tại và cái ác được tìm thấy trước. Nói chung bạn phải báo cáo trước, nhưng không phải sau này.

Quyết định lặn xuống hố thỏ ở trên bao xa sẽ phụ thuộc vào câu trả lời cho những câu hỏi này. Đối với các quản trị viên thường xuyên khởi hành trong đó kỳ vọng về cái ác là rất nhỏ, không cần phải làm xiếc đầy đủ; thay đổi mật khẩu cấp quản trị viên và khóa lại bất kỳ máy chủ SSH đối diện bên ngoài nào là đủ. Một lần nữa, tư thế bảo mật quản lý rủi ro doanh nghiệp xác định điều này.

Đối với các quản trị viên đã bị chấm dứt vì lý do, hoặc tà ác bị cắt xén sau khi họ rời đi bình thường, rạp xiếc trở nên cần thiết hơn. Trường hợp xấu nhất là loại BOFH hoang tưởng, người đã được thông báo rằng vị trí của họ sẽ được dự phòng sau 2 tuần nữa, vì điều đó giúp họ có nhiều thời gian để sẵn sàng; trong những trường hợp như ý tưởng của Kyle về gói trợ cấp hào phóng có thể giảm thiểu mọi vấn đề. Ngay cả hoang tưởng cũng có thể tha thứ cho rất nhiều tội lỗi sau khi một tấm séc có 4 tháng thanh toán đến. Việc kiểm tra đó có thể sẽ có giá thấp hơn chi phí của các chuyên gia tư vấn bảo mật cần thiết để loại bỏ tội ác của họ.

Nhưng cuối cùng, phải trả giá cho việc xác định liệu cái ác có được thực hiện so với chi phí tiềm năng của bất kỳ cái ác nào thực sự được thực hiện hay không.

Tôi muốn nói rằng đó là sự cân bằng giữa mức độ quan tâm của bạn so với số tiền bạn sẵn sàng trả.

Rất quan tâm:
Nếu bạn rất quan tâm thì bạn có thể muốn thuê một nhà tư vấn bảo mật bên ngoài để thực hiện quét toàn bộ mọi thứ từ cả góc nhìn bên ngoài và bên trong. Nếu người này đặc biệt thông minh, bạn có thể gặp rắc rối, họ có thể có một cái gì đó sẽ không hoạt động trong một thời gian. Tùy chọn khác là chỉ cần xây dựng lại mọi thứ. Điều này nghe có vẻ quá đáng nhưng bạn sẽ học tốt môi trường và bạn cũng thực hiện một dự án khắc phục thảm họa.

Quan tâm nhẹ:
Nếu bạn chỉ quan tâm nhẹ, bạn có thể chỉ muốn làm:

• Một cổng quét từ bên ngoài.
• Quét virus / phần mềm gián điệp. Rootkit Quét cho máy Linux.
• Nhìn qua cấu hình tường lửa cho bất cứ điều gì bạn không hiểu.
• Thay đổi tất cả mật khẩu và tìm kiếm bất kỳ tài khoản không xác định nào (Đảm bảo rằng họ không kích hoạt ai đó không còn hoạt động với công ty để họ có thể sử dụng tài khoản đó, v.v.).
• Đây cũng có thể là thời điểm tốt để xem xét việc cài đặt Hệ thống phát hiện xâm nhập (IDS).
• Xem nhật ký chặt chẽ hơn bạn thường làm.

Vì tương lai:
Đi về phía trước khi một quản trị viên rời đi cho anh ta một bữa tiệc tuyệt vời và sau đó khi anh ta say rượu chỉ cần mời anh ta về nhà - sau đó vứt anh ta xuống sông, đầm lầy hoặc hồ gần nhất. Nghiêm trọng hơn, đây là một trong những lý do tốt để cung cấp cho quản trị viên tiền trợ cấp thôi việc. Bạn muốn họ cảm thấy ổn về việc để lại càng nhiều càng tốt. Ngay cả khi họ không cảm thấy tốt, ai quan tâm?, Hãy mút nó và làm cho họ hạnh phúc. Giả vờ đó là lỗi của bạn chứ không phải của họ. Chi phí tăng chi phí cho bảo hiểm thất nghiệp và gói trợ cấp thôi không so sánh với thiệt hại họ có thể làm. Đây là tất cả về con đường ít kháng cự nhất và tạo ra ít kịch tính nhất có thể.

Đừng quên những thứ như Teamviewer, LogmeIn, v.v ... Tôi biết điều này đã được đề cập, nhưng kiểm toán phần mềm (nhiều ứng dụng ngoài đó) của mọi máy chủ / máy trạm sẽ không bị tổn thương, bao gồm cả quét mạng con với nmap Kịch bản NSE.

Điều đầu tiên trước tiên - hãy sao lưu mọi thứ trên bộ lưu trữ ngoài trang web (ví dụ: băng hoặc ổ cứng mà bạn ngắt kết nối và đặt vào bộ lưu trữ). Bằng cách đó, nếu một cái gì đó độc hại xảy ra, bạn có thể phục hồi một chút.

Tiếp theo, lược qua các quy tắc tường lửa của bạn. Bất kỳ cổng mở đáng ngờ nên được đóng lại. Nếu có một cửa sau thì ngăn chặn truy cập vào nó sẽ là một điều tốt.

Tài khoản người dùng - tìm kiếm người dùng bất mãn của bạn và đảm bảo quyền truy cập của họ bị xóa càng sớm càng tốt. Nếu có các khóa SSH, hoặc / etc / passwd, hoặc các mục LDAP, thậm chí các tệp .htaccess, tất cả sẽ được quét.

Trên các máy chủ quan trọng của bạn tìm kiếm các ứng dụng và cổng nghe tích cực. Đảm bảo các quy trình chạy gắn liền với chúng có vẻ hợp lý.

Cuối cùng, một nhân viên bất mãn quyết tâm có thể làm bất cứ điều gì - sau tất cả, họ có kiến ​​thức về tất cả các hệ thống nội bộ. Một người hy vọng rằng họ có sự liêm chính để không có hành động tiêu cực.

Một cơ sở hạ tầng hoạt động tốt sẽ có các công cụ, giám sát và kiểm soát tại chỗ để ngăn chặn phần lớn việc này. Bao gồm các:

• Phân chia mạng và tường lửa phù hợp
• IDS dựa trên máy chủ
• IDS dựa trên mạng
• Đăng nhập trung tâm
• Kiểm soát truy cập
• Thay đổi kiểm soát

Nếu các công cụ này được đặt đúng chỗ, bạn sẽ có một bản kiểm toán. Nếu không, bạn sẽ phải thực hiện một bài kiểm tra thâm nhập đầy đủ .

Bước đầu tiên sẽ là kiểm toán tất cả quyền truy cập và thay đổi tất cả mật khẩu. Tập trung vào truy cập bên ngoài và các điểm vào tiềm năng-- đây là lúc bạn dành thời gian tốt nhất. Nếu dấu chân bên ngoài không được chứng minh, loại bỏ nó hoặc thu nhỏ nó. Điều này sẽ cho phép bạn có thời gian để tập trung vào nhiều chi tiết hơn trong nội bộ. Hãy nhận biết tất cả lưu lượng truy cập đi, vì các giải pháp lập trình có thể được truyền dữ liệu hạn chế ra bên ngoài.

Cuối cùng, là một quản trị viên hệ thống và mạng sẽ cho phép truy cập đầy đủ vào hầu hết nếu không phải tất cả mọi thứ. Với điều này, đến một mức độ trách nhiệm cao. Thuê với mức trách nhiệm này không nên được xem nhẹ và các bước nên được thực hiện để giảm thiểu rủi ro ngay từ đầu. Nếu một chuyên gia được thuê, thậm chí bỏ mặc những điều khoản tồi tệ, họ sẽ không có những hành động không chuyên nghiệp hoặc bất hợp pháp.

Có nhiều bài viết chi tiết trên Server Fault bao gồm kiểm tra hệ thống phù hợp để bảo mật cũng như phải làm gì trong trường hợp chấm dứt của ai đó. Tình huống này không phải là duy nhất từ ​​những người.

Một BOFH thông minh có thể làm bất kỳ điều nào sau đây:

1. Chương trình định kỳ khởi tạo một kết nối ra ngoài netcat trên một cổng nổi tiếng để nhận lệnh. Ví dụ: Cổng 80. Nếu được thực hiện tốt, giao thông qua lại sẽ có sự xuất hiện của lưu lượng truy cập cho cổng đó. Vì vậy, nếu trên cổng 80, nó sẽ có các tiêu đề HTTP và tải trọng sẽ là các khối được nhúng trong hình ảnh.

2. Một lệnh định kỳ tìm ở các vị trí cụ thể để các tệp thực thi. Địa điểm có thể trên máy tính người dùng, máy tính mạng, bảng bổ sung trong cơ sở dữ liệu, thư mục tệp đệm tạm thời.

3. Các chương trình kiểm tra xem liệu một hoặc nhiều cửa hậu khác vẫn còn hiệu lực. Nếu không, thì một biến thể trên nó được cài đặt và các chi tiết được gửi qua email cho BOFH

4. Vì nhiều cách sao lưu hiện được thực hiện với đĩa, hãy sửa đổi các bản sao lưu để chứa ít nhất một số bộ dụng cụ gốc của bạn.

Những cách để bảo vệ bản thân khỏi những điều này:

1. Khi một nhân viên của lớp BOFH rời đi, hãy cài đặt một hộp mới trong DMZ. Nó nhận được một bản sao của tất cả lưu lượng truy cập vượt qua tường lửa. Tìm kiếm sự bất thường trong giao thông này. Loại thứ hai là không tầm thường, đặc biệt nếu BOFH giỏi bắt chước các mẫu lưu lượng thông thường.

2. Làm lại máy chủ của bạn để các nhị phân quan trọng được lưu trữ trên phương tiện chỉ đọc. Đó là, nếu bạn muốn sửa đổi / bin / ps, bạn phải vào máy, chuyển vật lý từ RO sang RW, khởi động lại một người dùng, nhắc lại phân vùng đó, cài đặt bản sao mới của ps, đồng bộ hóa, khởi động lại, nút chuyển đổi. Một hệ thống được thực hiện theo cách này có ít nhất một số chương trình đáng tin cậy và hạt nhân đáng tin cậy để thực hiện công việc tiếp theo.

Tất nhiên, nếu bạn đang sử dụng windows, bạn sẽ bị hos.

3. Ngăn chặn cấu trúc hạ tầng của bạn. Không hợp lý với các công ty có quy mô vừa và nhỏ.

Cách để ngăn chặn điều này.

1. Bác sĩ thú y cẩn thận.

2. Tìm hiểu xem những người này có bất mãn và khắc phục các vấn đề nhân sự trước thời hạn.

3. Khi bạn loại bỏ một quản trị viên với các loại quyền hạn này sẽ làm ngọt chiếc bánh:

   a. Tiền lương của anh ta hoặc một phần tiền lương của anh ta tiếp tục trong một khoảng thời gian hoặc cho đến khi có một sự thay đổi lớn trong hành vi hệ thống mà nhân viên CNTT không giải thích được. Điều này có thể là trên một phân rã theo cấp số nhân. Ví dụ như anh nhận được đầy đủ tiền lương trong vòng 6 tháng, 80% so với 6 tháng, 80 phần trăm rằng trong 6 tháng tới.

   b. Một phần tiền lương của anh ta là dưới dạng các lựa chọn cổ phiếu không có hiệu lực trong một đến năm năm sau khi anh ta rời đi. Các tùy chọn này không bị xóa khi anh ta rời đi. Ông có một động lực để đảm bảo rằng công ty sẽ hoạt động tốt trong 5 năm.

Tôi nhận ra rằng vấn đề tồn tại ngay cả trước khi quản trị viên rời đi. Chỉ là người ta nhận thấy vấn đề nhiều hơn vào thời điểm đó.

-> Người ta cần một quy trình để kiểm toán mọi thay đổi và một phần của quy trình là những thay đổi chỉ được áp dụng thông qua nó.

Hãy chắc chắn để nói với tất cả mọi người trong công ty một khi họ đã rời đi. Điều này sẽ loại bỏ các vector tấn công kỹ thuật xã hội. Nếu công ty lớn, thì hãy chắc chắn rằng những người cần biết, biết.

Nếu quản trị viên cũng chịu trách nhiệm về mã được viết (trang web của công ty, v.v.) thì bạn cũng cần phải thực hiện kiểm toán mã.

Có một cái lớn mà mọi người bỏ quên.

Hãy nhớ rằng không chỉ có hệ thống.

• Các nhà cung cấp có biết rằng người đó không thuộc biên chế và không được phép truy cập (colo, telco)
• Có bất kỳ dịch vụ lưu trữ bên ngoài nào có thể có mật khẩu riêng (trao đổi, crm)
• Họ có thể có tài liệu tống tiền hay không (không sao, điều này đang bắt đầu đạt được một chút ...)

Trừ khi bạn thực sự hoang tưởng, thì đề xuất của tôi chỉ đơn giản là chạy một số công cụ quét TCP / IP (tcpview, wireshark, v.v.) để xem liệu có bất kỳ điều gì đáng ngờ khi cố gắng liên hệ với thế giới bên ngoài.

Thay đổi mật khẩu quản trị viên và đảm bảo không có tài khoản quản trị viên 'bổ sung' nào không cần phải ở đó.

Ngoài ra, đừng quên thay đổi mật khẩu truy cập không dây và kiểm tra cài đặt phần mềm bảo mật của bạn (cụ thể là AV và Tường lửa)

Kiểm tra nhật ký trên máy chủ của bạn (và máy tính họ trực tiếp làm việc). Tìm kiếm không chỉ cho tài khoản của họ, mà còn các tài khoản không được quản trị viên biết đến. Tìm kiếm lỗ hổng trong nhật ký của bạn. Nếu một bản ghi sự kiện đã bị xóa trên một máy chủ gần đây, đó là nghi ngờ.

Kiểm tra ngày sửa đổi trên các tập tin trên máy chủ web của bạn. Chạy một kịch bản nhanh để liệt kê tất cả các tệp đã thay đổi gần đây và xem xét chúng.

Kiểm tra ngày cập nhật mới nhất trên tất cả các đối tượng người dùng và chính sách nhóm của bạn trong AD.

Xác minh tất cả các bản sao lưu của bạn đang hoạt động và các bản sao lưu hiện có vẫn tồn tại.

Kiểm tra các máy chủ nơi bạn đang chạy dịch vụ Volume Shadow Copy để biết lịch sử trước đó bị thiếu.

Tôi đã thấy rất nhiều điều tốt được liệt kê và chỉ muốn thêm những thứ khác mà bạn có thể nhanh chóng kiểm tra. Nó sẽ là giá trị nó để làm một đánh giá đầy đủ về tất cả mọi thứ. Nhưng bắt đầu với những nơi có những thay đổi gần đây nhất. Một số trong những điều này có thể được kiểm tra nhanh chóng và có thể giơ một số cờ đỏ sớm để giúp bạn ra ngoài.

Về cơ bản, tôi muốn nói rằng nếu bạn là một BOFH có năng lực, bạn sẽ phải chịu số phận ... có rất nhiều cách để cài đặt bom sẽ không được chú ý. Và nếu công ty của bạn được sử dụng để loại bỏ "quân đội manu" những người bị sa thải, hãy chắc chắn rằng quả bom sẽ được trồng tốt khi bị sa thải !!!

Cách tốt nhất là giảm thiểu rủi ro khi có một quản trị viên tức giận ... Tránh "cắt giảm chi phí" (nếu anh ta là một BOFH có năng lực và xấu xa, những tổn thất bạn có thể phải chịu sẽ lớn hơn những gì bạn sẽ phải chịu sa thải) ... Nếu anh ta mắc một số sai lầm không thể chấp nhận được, tốt hơn là để anh ta sửa nó (không trả tiền) như một cách thay thế cho việc sa thải ... Lần sau anh ta sẽ khôn ngoan hơn để không lặp lại sai lầm (sẽ tăng lên trong giá trị của anh ấy) ... Nhưng hãy chắc chắn đạt được mục tiêu tốt (điều phổ biến là những người không có năng lực có sức thu hút tốt sẽ từ chối lỗi của chính họ đối với người có năng lực nhưng ít xã hội hơn).

Và nếu bạn đang đối mặt với một BOFH thực sự theo nghĩa tồi tệ nhất (và hành vi đó là lý do sa thải), tốt hơn hết là bạn nên chuẩn bị cài đặt lại từ đầu tất cả hệ thống mà anh ta đã tiếp xúc (có lẽ sẽ có nghĩa là mỗi máy tính).

Đừng quên rằng một thay đổi bit đơn lẻ có thể khiến toàn bộ hệ thống trở nên tồi tệ ... (setuid bit, Jump if Carry to Jump if No Carry, ...) và thậm chí các công cụ biên dịch có thể đã bị xâm phạm.

Chúc may mắn nếu anh ấy thực sự biết bất cứ điều gì và thiết lập bất cứ điều gì trước. Ngay cả một dimwit cũng có thể gọi / email / fax telco với việc ngắt kết nối hoặc thậm chí yêu cầu họ chạy các mẫu thử nghiệm đầy đủ trên các mạch trong ngày.

Nghiêm túc, thể hiện một chút tình yêu và một vài sự khởi đầu thực sự làm giảm bớt rủi ro.

Ồ vâng, trong trường hợp họ gọi để "lấy mật khẩu hoặc thứ gì đó" nhắc nhở họ về tỷ lệ 1099 của bạn và 1 giờ tối thiểu và 100 chi phí đi lại cho mỗi cuộc gọi bất kể bạn có ở bất cứ đâu ...

Này, đó giống như hành lý của tôi! 1,2,3,4!

Tôi đề nghị bạn bắt đầu ở chu vi. Xác minh cấu hình tường lửa của bạn đảm bảo bạn không có các điểm nhập không mong đợi vào mạng. Đảm bảo mạng an toàn về mặt vật lý chống lại anh ta nhập lại và truy cập vào bất kỳ máy tính nào.

Xác minh rằng bạn đã sao lưu hoàn toàn làm việc và có thể phục hồi. Sao lưu tốt sẽ giúp bạn không mất dữ liệu nếu anh ta làm điều gì đó phá hoại.

Kiểm tra bất kỳ dịch vụ nào được cho phép thông qua chu vi và đảm bảo rằng anh ta đã bị từ chối truy cập. Hãy chắc chắn rằng các hệ thống đó có cơ chế ghi nhật ký hoạt động tốt.

Xóa mọi thứ, bắt đầu lại;)

Đốt nó .... đốt tất cả.

Đó là cách duy nhất để chắc chắn.

Sau đó, ghi tất cả các lợi ích bên ngoài của bạn, đăng ký tên miền, nhà cung cấp thanh toán thẻ tín dụng rất nhiều.

Về ý nghĩ thứ hai, có lẽ sẽ dễ dàng hơn khi yêu cầu bất kỳ bạn đồng hành nào của Bikie thuyết phục cá nhân rằng họ sẽ không làm phiền bạn.

Có lẽ, một quản trị viên có thẩm quyền ở đâu đó trên đường đã tạo ra cái được gọi là BACKUP của cấu hình hệ thống cơ sở. Cũng có thể an toàn khi giả sử có các bản sao lưu được thực hiện với một số mức tần suất hợp lý cho phép sao lưu an toàn đã biết được khôi phục từ đó.

Cho rằng một số điều làm thay đổi, đó là một ý tưởng tốt để chạy từ bản sao lưu của bạn nếu có thể được ảo hóa cho đến khi bạn có thể đảm bảo quá trình cài đặt chính không bị thỏa hiệp.

Giả sử điều tồi tệ nhất trở nên rõ ràng, bạn hợp nhất những gì bạn có thể làm và nhập bằng tay phần còn lại.

Tôi bị sốc không ai đề cập đến việc sử dụng một bản sao lưu an toàn, trước bản thân tôi. Điều đó có nghĩa là tôi nên nộp sơ yếu lý lịch của mình cho bộ phận nhân sự của bạn?

Hãy cố gắng đưa quan điểm của mình.

Bạn biết hệ thống của bạn và những gì nó làm. Vì vậy, bạn có thể cố gắng tưởng tượng những gì có thể được phát minh để kết nối từ bên ngoài, ngay cả khi bạn không còn là sysadmin ...

Tùy thuộc vào cơ sở hạ tầng mạng như thế nào và tất cả những thứ này hoạt động như thế nào, bạn là người tốt nhất có thể biết phải làm gì và nơi này có thể được đặt.

Nhưng khi bạn dường như nói từ một bofh thử nghiệm , bạn phải tìm kiếm ở khắp mọi nơi ...

Theo dõi mạng

Vì mục tiêu chính là kiểm soát hệ thống từ xa , qua kết nối internet của bạn, bạn có thể xem (thậm chí thay thế vì điều này cũng có thể bị hỏng !!) tường lửa và cố gắng xác định từng kết nối đang hoạt động.

Việc thay thế tường lửa sẽ không đảm bảo sự bảo vệ hoàn toàn nhưng đảm bảo rằng không có gì bị ẩn. Vì vậy, nếu bạn xem gói tin được chuyển tiếp bởi tường lửa, bạn phải xem mọi thứ kể cả lưu lượng không mong muốn.

Bạn có thể sử dụng tcpdumpđể theo dõi mọi thứ (như hoang tưởng ở Mỹ;) và duyệt tệp kết xuất với công cụ nâng cao như wireshark. Hãy dành chút thời gian để xem lệnh này là gì (cần dung lượng trống 100Gb trên đĩa):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Đừng tin tất cả

Ngay cả khi bạn tìm thấy thứ gì đó, bạn sẽ không chắc chắn rằng mình đã tìm thấy toàn bộ thứ xấu!

Cuối cùng, bạn sẽ không thực sự im lặng trước khi bạn được cài đặt lại mọi thứ (từ các nguồn đáng tin cậy!)

Nếu bạn không thể làm lại máy chủ, điều tốt nhất tiếp theo có lẽ là khóa tường lửa của bạn càng nhiều càng tốt. Thực hiện theo mọi kết nối gửi đến có thể và đảm bảo rằng nó được giảm đến mức tối thiểu.

Thay đổi tất cả mật khẩu.

Thay thế tất cả các phím ssh.

Nói chung là khá khó ...

nhưng nếu là một trang web, hãy xem mã ngay sau nút Đăng nhập.

Chúng tôi đã tìm thấy một loại kiểu "if username = 'admin'" một lần ...

Về bản chất, làm cho kiến ​​thức của những người CNTT trước đây trở nên vô giá trị.

Thay đổi mọi thứ bạn có thể thay đổi mà không ảnh hưởng đến cơ sở hạ tầng CNTT.

Thay đổi hoặc đa dạng hóa nhà cung cấp là một thực hành tốt khác.