我正在尝试排除女朋友 SME 的网络故障:之前的网络管理员或多或少想勒索他们(例如,除非他能拿到钱,否则拒绝提供各种设备的密码:NAS 等),所以他们把他解雇了。
现在,我们正在更改所有计算机、摄像头、NAS 等的所有密码。我在地下室发现了一些奇怪的东西,在架子旁边,我发现了一个小外壳(看起来不太专业,似乎有一个手工制作的孔,可以让电缆穿过它):我打开它,里面有一个 Raspberry Pi,通过 USB 连接到一个硬盘上。该 Raspberry 有两个连接:一个 USB 电缆连接到硬盘,另一个以太网电缆插入 TPLink VPN(连接 Raspberry 的电缆插入四个以太网端口之一,而不是 WAN 端口)。
在与 IT 无关的“普通”公司中,这种设备的作用是什么:它是一家拥有两个小办公室的税务会计公司(因此需要 VPN)?
我如何才能准确找到这个 Raspberry PI 的用途?(我担心关闭它会弄乱网络配置)
这可能是一些备份吗?
请注意,我不知道超级用户是否是提出此类问题的正确 stackexchange 网站,并且我不知道这个 Raspberry 是用来做什么的,我不知道要使用哪些标签。
很感谢任何形式的帮助。
答案1
问这个问题有点像问:这本书的目的是什么?它有两本精装书,很多页,一个索引和一个词汇表。你永远不会知道,除非你看一看。
USB 磁盘包含一些数据,其以太网端口允许与 LAN 和 WAN 进行通信。我不明白你为什么声称它连接到了 VPN。
Raspberry PI 虽然体积小,但却是功能齐全的计算机。你可以为几乎任何东西编写代码。考虑到安装它的人的性质及其位置,它最有可能的用途是作为进入你系统的后门。后门的用途再次尽可能广泛,通常包括各种恶意计划。
不过,它似乎不太可能执行任何与网络相关的有用任务。如果你是我,我会把它从你的网络上断开,看看发生了什么。无论如何,即使它正在执行任何有用的任务,你怎么能相信它确实会这样做呢?不是在旁边做了什么恶作剧吗?
除了使用网络监控工具(这将产生许多宝贵的信息)之外,您可能还想检查磁盘的内容(如果它已加密,那么您可以肯定它被用于非法计划)和 RPi 的 SD 卡。您只需将卡插入您的 PC,安装它并仔细阅读自动启动的文件,IE/etc/init.d、/etc/rc.local 的内容,autossh、openvpn 等程序的存在。再说一次,如果卡是加密的,那么可以肯定他正在做一些恶作剧。
如果您对此真的感兴趣,并且两个组件均未加密,那么您可以尝试使用虚拟机管理程序(VirtualBox、HyperV、KVM、Xen,取决于您的平台)来构建从 SD 卡启动的虚拟机。Google 上肯定有十亿个引用Forensics in a Virtual Environment/Machine...
但最重要的是,我会非常快拔掉插头。