web-dev-qa-db-ja.com

以前のIT担当者からのバックドアをどのように検索しますか?

私たちは皆、それが起こることを知っています。苦い古いIT担当者は、システムとネットワークに バックドア を残して、新しい担当者を楽しませ、会社なしでいかに悪いことが起こっているかを示します。

私はこれを個人的に経験したことがありません。私が経験した中で最も多いのは、出発する直前に何かを壊して盗んだ人です。しかし、これは確かに起こります。

では、完全に信頼できないネットワークを乗っ取る場合、すべてが安全で安全であることを保証するためにどのような手順を踏む必要がありますか?

security
364
Jason Berg

本当に、本当に、本当に難しいです。非常に完全な監査が必要です。老人が何かを置き忘れてブームになるか、火を消すことができるのは彼らだけなので再雇用が必要だと確信している場合は、敵対的なパーティー。ハッカーのグループがやって来て物を盗んだようにそれを扱います、そしてあなたは彼らの混乱の後に片付けなければなりません。それがそうであるからです。

  • すべてのシステムのすべてのアカウントを監査して、特定のエンティティに関連付けられていることを確認します。
    • システムに関連付けられているように見えても、だれも説明できないアカウントは、信頼されません。
    • 何にも関連付けられていないアカウントは削除する必要があります(これはとにかく実行する必要がありますが、この場合は特に重要です)
  • 彼らが接触したと思われるすべてのパスワードを変更します。
    • これらのパスワードはハードコード化される傾向があるため、これはユーティリティアカウントにとって実際の問題になる可能性があります。
    • エンドユーザーの呼び出しに応答するヘルプデスクタイプの場合は、支援した人のパスワードを持っていると想定します。
    • Active Directoryに対するエンタープライズ管理者またはドメイン管理者がいる場合、彼らが去る前にパスワードハッシュのコピーを入手したと想定します。これらはすぐに解読される可能性があるため、全社的なパスワード変更を数日以内に強制する必要があります。
    • * nixボックスへのrootアクセス権がある場合、パスワードハッシュを持って立ち去ったと想定します。
    • すべての公開鍵のSSH鍵の使用法を見直して鍵が消去されていることを確認し、アクセス中に秘密鍵が公開されていないか監査します。
    • 通信機器にアクセスできる場合は、ルーター、スイッチ、ゲートウェイ、PBXのパスワードを変更します。これは重大な機能停止を伴う可能性があるため、本当に王室の痛みになる可能性があります。
  • 境界セキュリティの取り決めを完全に監査します。
    • すべてのファイアウォールホールが既知の承認済みデバイスとポートにトレースすることを確認します。
    • すべてのリモートアクセス方法(VPN、SSH、BlackBerry、ActiveSync、Citrix、SMTP、IMAP、WebMailなど)で追加の認証が行われていないことを確認し、不正なアクセス方法を完全に調べます。
    • リモートのWANリンクが完全に雇用された人々へのリンクを追跡し、それを確認することを確認します。特にワイヤレス接続です。彼らが会社の有料携帯モデムやスマートフォンを持って外出するのは望ましくありません。すべてに連絡してください。ユーザーが適切なデバイスを持っていることを確認します。
  • 内部の特権アクセスの手配を完全に監査します。これらは、一般ユーザーにはないサーバーへのSSH/VNC/RDP/DRAC/iLO/IMPIアクセス、または給与などの機密システムへのアクセスなどです。
  • すべての外部ベンダーおよびサービスプロバイダーと協力して、連絡先が正しいことを確認します。
    • それらがすべての連絡先およびサービスリストから削除されていることを確認します。これは出発後にとにかく行う必要がありますが、現在は非常に重要です。
    • すべての連絡先が正当であり、正しい連絡先情報を持っていることを確認します。これは、なりすまし可能なゴーストを見つけるためです。
  • 論理爆弾を探し始めます。
    • すべての自動化(タスクスケジューラ、cronジョブ、UPSコールアウトリスト、またはスケジュールに従って実行されるもの、またはイベントによってトリガーされるもの)に悪の兆候がないか確認します。 「すべて」とは、すべてを意味します。すべてのcrontabを確認してください。プローブ自体を含め、監視システムのすべての自動アクションをチェックします。すべてのWindowsタスクスケジューラを確認してください。ワークステーションでさえ。非常にデリケートな地域で政府のために働いているのでなければ、「すべて」を買う余裕はないので、できる限りのことをしてください。
    • すべてのサーバーの主要なシステムバイナリを検証して、本来あるべき状態であることを確認します。これは特にWindowsではトリッキーであり、1回限りのシステムでさかのぼって行うことはほぼ不可能です。
    • ルートキットを探し始めます。定義上、それらを見つけるのは難しいですが、これにはスキャナーがあります。

遠く離れていても、少なくとも簡単ではありません。これらすべての費用を正当化することは、今は元管理者が実際に悪であったという明確な証拠がなければ、非常に難しい場合があります。上記のすべては、会社の資産でさえ実行できません。そのため、セキュリティコンサルタントを雇ってこの作業の一部を行う必要があります。

実際の悪が検出された場合、特にその悪が何らかのソフトウェアに含まれている場合、訓練を受けたセキュリティ専門家が問題の幅を特定するのが最善です。これは、刑事事件が発生し始める可能性がある時点でもあり、あなたは本当に証拠を処理する訓練を受けた人々がこの分析を行うことを望んでいます。

しかし、本当に、どこまで行かなければならないのでしょうか。ここで、 リスク管理 が機能します。簡単に言えば、これは予想されるリスクと損失のバランスをとる方法です。システム管理者は、バックアップを作成するどのオフサイトの場所を決定するときにこれを行います。銀行のセーフティボックスと地域外のデータセンター。このリストのどれが以下を必要とするかを理解することは、リスク管理の練習です。

この場合、評価はいくつかのことから始まります。

  • 出発者の予想スキルレベル
  • 出発者のアクセス
  • 悪が行われたという期待
  • 悪の潜在的な被害
  • 犯された悪対先取りされた悪を報告するための規制要件。通常、前者を報告する必要がありますが、後者は報告しないでください。

上記のうさぎの穴のどこまで潜るかは、これらの質問に対する答えによって決まります。悪の期待が非常に少ない定期的な管理者の出発の場合、完全なサーカスは必要ありません。管理者レベルのパスワードを変更し、外部に面しているSSHホストに鍵を再入力するだけで十分でしょう。繰り返しになりますが、これは企業のリスク管理セキュリティ体制によって決まります。

原因で終了した管理者や、通常の出発後に悪が発生した管理者にとって、サーカスはより必要になります。最悪のシナリオは、準備が整うのに十分な時間があるため、2週間で職位が冗長になることを通知された偏執的なBOFHタイプです。このような状況では カイルの寛大な退職パッケージの考え はあらゆる種類の問題を軽減できます。偏執狂でさえ、4か月分の給与を含む小切手が到着した後、多くの罪を許すことができます。このチェックのコストは、セキュリティコンサルタントが悪を取り除くのに必要なコストよりもおそらく安いでしょう。

しかし、最終的には、悪が行われたかどうかを判断するコストと、実際に行われている悪の潜在的なコストとが関係します。

333
sysadmin1138

それはあなたがどれだけ心配するかとあなたが喜んで支払うお金のバランスだと思います。

非常に懸念:
非常に懸念がある場合は、外部のセキュリティコンサルタントを雇って、外部と内部の両方の観点からすべてを完全にスキャンすることをお勧めします。この人が特に賢い場合、あなたは問題を抱えている可能性があり、彼らはしばらく眠っているものがあるかもしれません。他のオプションは、単にすべてを再構築することです。これは非常に過剰に聞こえるかもしれませんが、環境をよく理解し、災害復旧プロジェクトも行います。

軽度の懸念:
あなたが少し心配しているだけなら、あなたはただやりたいかもしれません:

  • 外部からのポートスキャン。
  • ウイルス/スパイウェアスキャン。 Linuxマシンのルートキットスキャン。
  • ファイアウォールの構成を調べて、理解できないことを探します。
  • すべてのパスワードを変更し、不明なアカウントを探します(会社を離れた人をアクティブ化しないようにして、それらを使用できるようにしてください)。
  • これは、侵入検知システム(IDS)のインストールを検討する良い機会かもしれません。
  • 通常よりもログを注意深く監視します。

For the Future:
管理者が去ったときに先に進むと、彼に素敵なパーティーが開かれ、酔っ払ったら家に帰るように勧められます。その後、彼を最寄りの川、沼地、または湖に捨てます。さらに真剣に、これは管理者に寛大な退職金を与える正当な理由の1つです。あなたは彼らができるだけ離れることについて大丈夫だと感じてもらいたいのです。気分が悪くなったとしても、誰が気にしますか?それを吸い上げて幸せにします。それは彼らのせいではなく、あなたのせいです。失業保険と解雇パッケージのコストの引き上げのコストは、彼らが行うことができる損害と比較されません。これは、抵抗を最小限に抑え、ドラマをできるだけ少なくするための道です。

100
Kyle Brandt

TeamviewerやLogmeInなどのことを忘れないでください。これについてはすでに触れましたが、nmapのサブネットスキャンを含め、すべてのサーバー/ワークステーションのソフトウェア監査(多くのアプリ)が害を及ぼすことはありません。 NSEスクリプト。

20
Mars

まず最初に-オフサイトストレージ上のすべてのバックアップを取得します(例:テープ、または切断してストレージに保存したHDD)。そうすれば、悪意のあることが発生した場合に、少し回復できる可能性があります。

次に、ファイアウォールルールをくまなく調べます。疑わしい開いているポートはすべて閉じる必要があります。バックドアがある場合は、アクセスできないようにするのが良いでしょう。

ユーザーアカウント-不満のあるユーザーを探し、そのアクセスができるだけ早く削除されるようにします。 SSHキー、/ etc/passwdファイル、またはLDAPエントリがある場合は、.htaccessファイルも含めてすべてスキャンする必要があります。

重要なサーバーで、アプリケーションとアクティブなリスニングポートを探します。それらに接続されている実行中のプロセスが賢明に見えることを確認します。

最終的には、不満に思っている従業員は何でもできる-結局のところ、彼らはすべての内部システムの知識を持っている。彼らが否定的な行動をとらない誠実さを持っていることを望みます。

18
PP.

十分に稼働しているインフラストラクチャでは、これを大幅に防止するためのツール、監視、および制御が用意されています。これらには以下が含まれます:

これらのツールが適切に配置されている場合、監査証跡があります。それ以外の場合は、完全な 侵入テスト を実行する必要があります。

最初のステップは、すべてのアクセスを監査し、すべてのパスワードを変更することです。外部アクセスと潜在的なエントリポイントに焦点を当てます。これが、あなたの時間が最も費やされる場所です。外部フットプリントが正当化されていない場合は、それを削除するか縮小します。これにより、内部でより多くの詳細に集中できるようになります。プログラムによるソリューションが制限されたデータを外部に転送する可能性があるため、すべての送信トラフィックにも注意してください。

最終的には、システム管理者およびネットワーク管理者になることで、すべてではないにしてもほとんどのものに完全にアクセスできます。これには、高い責任が伴います。このレベルの責任を伴う雇用は軽く取られるべきではなく、最初からリスクを最小限に抑えるための措置が取られるべきです。専門家が雇われた場合、たとえ悪条件を残しても、専門家ではない、または違法な行動をとることはありません。

サーバー障害に関する詳細な投稿には、セキュリティのための適切なシステム監査や、誰かが終了した場合の対処方法などが含まれています。この状況は、それらに固有のものではありません。

17
Warner

賢いBOFHは次のいずれかを実行できます。

  1. 既知のポートでnetcatアウトバウンド接続を開始してコマンドを取得する定期的なプログラム。例えば。ポート80。うまく行った場合、前後のトラフィックはそのポートのトラフィックのように見えます。したがって、ポート80の場合、HTTPヘッダーがあり、ペイロードは画像に埋め込まれたチャンクになります。

  2. 特定の場所で実行するファイルを探す非周期的なコマンド。場所は、ユーザーのコンピューター、ネットワークコンピューター、データベース内の追加のテーブル、一時スプールファイルディレクトリにすることができます。

  3. 他のバックドアが1つ以上まだ残っているかどうかを確認するプログラム。そうでない場合は、そのバリアントがインストールされ、BOFHに詳細がメールで送信されます。

  4. バックアップの多くがディスクで行われるようになったため、バックアップを変更して、少なくともいくつかのルートキットを含めます。

この種のものから身を守る方法:

  1. BOFHクラスの従業員が退社したら、DMZに新しいボックスを設置します。ファイアウォールを通過するすべてのトラフィックのコピーを取得します。このトラフィックの異常を探します。特にBOFHが通常のトラフィックパターンを模倣するのに優れている場合、後者は重要です。

  2. 重要なバイナリが読み取り専用メディアに保存されるようにサーバーをやり直してください。つまり、/ bin/psを変更する場合は、マシンに移動し、スイッチをROからRWに物理的に移動し、シングルユーザーを再起動し、そのパーティションrwを再マウントして、 ps、sync、reboot、toggle switchの新しいコピーこの方法で実行されるシステムには、少なくともいくつかの信頼できるプログラムと、さらに作業を行うための信頼できるカーネルがあります。

もちろん、あなたが窓を使っているなら、あなたはうんざりしています。

  1. インフラストラクチャを区分けします。中小規模の企業では合理的ではありません。

この種のものを防ぐ方法。

  1. 慎重に獣医を獣医します。

  2. これらの人々が不満を持っているかどうかを調べ、人事の問題を事前に修正します。

  3. 次のような権限を持つ管理者を解任すると、パイが甘くなります。

    a。彼の給与または彼の給与の一部は、一定期間、またはITスタッフが説明できないシステム動作に大きな変化が生じるまで続きます。これは指数関数的減衰である可能性があります。例えば。彼は6か月間全額支払い、6か月間はその80%、次の6か月間はthatの80%を受け取ります。

    b。彼の給料の一部は、彼が退職してから1〜5年間有効にならないストックオプションの形式です。これらのオプションは、彼が去っても削除されません。彼は会社が5年でうまく動くことを確認するインセンティブを持っています。

16
sherwood botsford

管理者が去る前でさえ、この問題が存在していることに私は驚いています。当時、問題にもっと気づいているだけです。

->すべての変更を監査するプロセスが必要です。プロセスの一部は、変更はそれを通じてのみ適用されるということです。

13
Stephan Wehner

退職したら、会社の全員に伝えてください。これにより、ソーシャルエンジニアリング攻撃ベクトルが排除されます。会社が大きい場合は、知る必要のある人が知っていることを確認してください。

管理者が記述されたコード(企業のWebサイトなど)も担当している場合は、コードの監査も行う必要があります。

12
user52238

誰もが除外している大きな問題があります。

システムだけではないことに注意してください。

  • ベンダーはその人がスタッフにいないこと、およびアクセスを許可されるべきではないことを知っていますか(colo、telco)
  • 個別のパスワード(exchange、crm)を持つ可能性のある外部のホスティングサービスはありますか?
  • とにかく彼らは恐喝の資料を持っている可能性があります(これは少し到達し始めています...)
12
LapTop006

サーバー(およびサーバーが直接動作するコンピューター)のログを確認します。彼らのアカウントだけでなく、既知の管理者ではないアカウントも探してください。ログの穴を探します。最近サーバーでイベントログが消去された場合は、疑わしいです。

Webサーバー上のファイルの変更日を確認します。簡単なスクリプトを実行して、最近変更されたすべてのファイルをリストし、それらを確認します。

AD内のすべてのグループポリシーとユーザーオブジェクトの最終更新日を確認します。

すべてのバックアップが機能していて、既存のバックアップがまだ存在していることを確認します。

ボリュームシャドウコピーサービスを実行しているサーバーで、以前の履歴がないかどうかを確認します。

私はすでに多くの良いものがリストされているのを目にしていて、すぐに確認できるこれらの他のものを追加したいだけです。すべてを十分に検討することは価値があります。しかし、最新の変更がある場所から始めます。これらのいくつかはすぐにチェックでき、あなたを助けるためにいくつかの初期の赤旗を上げることができます。

9
Kevin Marquette

本当に偏執的でない限り、私の提案は、いくつかのTCP/IPスキャンツール(tcpview、wiresharkなど)を実行して、外界に連絡しようとする疑わしい試みがないかどうかを確認することです。

管理者パスワードを変更し、そこにある必要のない「追加の」管理者アカウントがないことを確認します。

また、ワイヤレスアクセスのパスワードを変更し、セキュリティソフトウェアの設定(特にAVおよびファイアウォール)を確認することを忘れないでください。

9
emtunc

基本的に、あなたが有能なBOFHを持っているなら、あなたは運命づけられていると思います...気付かれない爆弾をインストールする方法はたくさんあります。そして、あなたの会社が解雇された「軍隊」を排除することに慣れているなら、爆弾がレイオフの前にうまく植えられることを確認してください!!!

最善の方法は、管理者の怒りのリスクを最小限に抑えることです...「コスト削減のレイオフ」を回避します(彼が有能で悪質なBOFHの場合、あなたが被る損失はおそらくあなたが得るものよりもはるかに大きいでしょう。レイオフ)...容認できない間違いを犯した場合は、レイオフの代わりに修正(無給)することをお勧めします...間違いを繰り返さないように、次回はより慎重になります(これは増加します)彼の価値観では...)しかし、良い目標を達成するようにしてください(優れたカリスマを持つ無能な人々は、有能だが社会的ではないものに対する自分自身の過ちを拒否するのが一般的です)。

そして、最悪の意味で真のBOFHに直面している場合(そしてその振る舞いがレイオフの理由である場合)、彼が接触していたすべてのシステムを最初から再インストールする準備をすることをお勧めします(これはおそらくすべての単一のコンピュータ)。

シングルビットの変更によりシステム全体が混乱する可能性があることを忘れないでください...(setuidビット、キャリーの場合はジャンプ、キャリーがない場合はジャンプ...)、コンパイルツールでさえも危険にさらされている可能性があります。

7
Denis

境界線から始めることをお勧めします。ファイアウォールの構成を確認して、ネットワークへの予期しないエントリポイントがないことを確認します。ネットワークが再侵入してコンピュータにアクセスできないように、ネットワークが物理的に安全であることを確認してください。

完全に機能し、復元可能なバックアップがあることを確認します。適切なバックアップがあれば、破壊的なことをしてもデータが失われることはありません。

境界を介して許可されているすべてのサービスをチェックし、アクセスが拒否されていることを確認します。それらのシステムが適切に機能するロギングメカニズムを備えていることを確認してください。

7
Zoredache

彼が本当に何かを知っていて、事前に何かを設定しておけば幸運です。ディムウィットでさえ、電話会社に電話をかけたり、電子メールで送信したり、電話を切ったりして、日中に回線で完全なテストパターンを実行するよう依頼することもできます。

真剣に、出発時に少しの愛といくつかの壮大さを示すことは本当にリスクを軽減します。

そうそう、彼らが「パスワードや何かを入手する」ために電話をかけた場合、あなたがどこにいる必要があるかどうかに関係なく、あなたの1099のレートと1時間あたりの1時間100の交通費を思い出させます...

ねえ、それは私の荷物と同じです! 1、2、3、4!

7
PointedHead Kid

それを燃やす...すべて燃やす.

確実にする唯一の方法です。

次に、すべての外部の関心、ドメインレジストラー、クレジットカード決済プロバイダーをすべて燃やします。

考え直してみると、おそらく、Bikieの仲間に依頼して、迷惑をかけないほうが健康であることを個人に納得させる方が簡単でしょう。

5
David

すべてを削除して、もう一度やり直してください;)

5
dmp

おそらく、有能な管理者が途中のどこかで、基本システム構成のいわゆるバックアップを作成しました。また、既知の安全なバックアップからの復元を可能にする、ある程度の頻度で行われるバックアップがあると想定しても安全です。

いくつかのことdoが変更されていることを考えると、プライマリインストールが危険にさらされないことを確認できるまで、可能であれば仮想化されたバックアップから実行することをお勧めします。

最悪の事態が明らかになったとしたら、できることをマージし、残りを手作業で入力します。

自分より先に安全なバックアップを使用することについて誰も言及していません。履歴書を人事部門に提出する必要があるということですか?

4
Michael Wayne Cummins

彼の視点を取り入れてみてください。

あなたはあなたのシステムとそれが何をするかを知っています。したがって、システム管理者でなくなった場合でも、外部から接続するために発明されたものを想像することができます...

ネットワークインフラストラクチャがどのように機能しているかに応じて、あなたは何をすべきか、どこに配置できるかを知っている最高の人物です。

しかし、実験的なbofhから話しているように、あらゆる場所の近くを検索する必要があります...

ネットワーク追跡

主な目的は、システムのリモート制御を取得することです。インターネット接続を介して、ファイアウォールを監視し(これも破損している可能性があるため交換することもできます!)、ファイアウォールを試してみてください。 eachアクティブな接続を識別します。

ファイアウォールを交換しても完全な保護は保証されませんが、何も隠されていないことを確認してください。したがって、ファイアウォールによって転送されるパケットを監視する場合、不要なトラフィックを含むすべてを確認する必要があります

すべてを追跡するためにtcpdumpを使用し(米国の偏執狂のように;)、wiresharkのような高度なツールでダンプファイルを参照できます。少し時間をかけて、このコマンドの内容を確認してください(ディスクに100Gbの空き容量が必要です)。

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

すべてを信用しない

あなたが何かを見つけたとしても、あなたはあなたが完全に悪いものを発見したかどうか確信が持てません!

最後に、再インストールすべて(信頼できるソースから)される前に、本当に静かになることはありません。

3
F. Hauri

サーバーをやり直すことができない場合、次善の策は、ファイアウォールをできるだけロックダウンすることです。すべての可能なインバウンド接続を追跡し、それが絶対最小値に削減されていることを確認してください。

すべてのパスワードを変更します。

すべてのsshキーを置き換えます。

2
wolfgangsz

一般的にはかなり難しい...

しかし、ウェブサイトの場合は、[ログイン]ボタンのすぐ後ろにあるコードを確認してください。

「if username = 'admin'」タイプのものが一度見つかりました...

1
Mark Redman

本質的には、以前のIT担当者の知識を価値のないものにします。

ITインフラストラクチャに影響を与えることなく、変更可能なすべてのものを変更します。

サプライヤの変更または多様化は、別の良い習慣です。

0
lrosa