如何寻找前任IT人员的后门？

Question 1

这真的非常非常困难。它需要非常全面的审计。如果你非常确定老员工留下了什么东西，这些东西会突然消失，或者需要重新雇用他们，因为他们是唯一可以灭火的人，那么是时候假设你被敌对一方入侵了。把它当作一群黑客进来偷东西，你必须收拾他们的烂摊子。因为事实就是这样。

审计每个系统上的每个帐户，以确保它与特定实体相关联。
那些看似与系统有关联但无人能解释的账户是不值得信任的。
需要清除与任何内容无关的帐户（无论如何都需要这样做，但在这种情况下尤其重要）
更改他们可能接触过的所有密码。
对于公用事业账户来说，这可能是一个真正的问题，因为这些密码往往会被硬编码到东西中。
如果他们是负责响应最终用户呼叫的服务台类型，则假设他们拥有他们所协助的任何人的密码。
如果他们拥有 Active Directory 的企业管理员或域管理员权限，则假设他们在离开之前获取了密码哈希的副本。这些哈希现在被破解的速度非常快，以至于需要在几天内强制全公司更改密码。
如果他们有任意 *nix 机器的 root 权限，那么就假设他们已经获取了密码哈希值。
检查所有公钥 SSH 密钥的使用情况，以确保其密钥已被清除，并审核在使用过程中是否有任何私钥被暴露。
如果他们有权访问任何电信设备，请更改任何路由器/交换机/网关/PBX 密码。这可能非常麻烦，因为这可能会造成严重中断。
全面审核您的周边安全安排。
确保所有防火墙漏洞都追踪到已知的授权设备和端口。
确保所有远程访问方法（VPN、SSH、BlackBerry、ActiveSync、Citrix、SMTP、IMAP、WebMail 等）都没有附加额外的身份验证，并彻底审查是否存在未经授权的访问方法。
确保远程 WAN 链接可追溯到全职员工，并进行验证。尤其是无线连接。您不希望他们带着公司付费的手机调制解调器或智能手机离开。联系所有此类用户，确保他们拥有正确的设备。
全面审计内部特权访问安排。这些包括一般用户无法访问的服务器的 SSH/VNC/RDP/DRAC/iLO/IMPI 访问，或对工资单等敏感系统的任何访问。
与所有外部供应商和服务提供商合作，以确保联系方式正确。
确保将他们从所有联系人和服务列表中删除。无论如何，在离开后都应该这样做，但现在尤为重要。
验证所有联系人都是合法的并且具有正确的联系信息，这是为了找到可以冒充的幽灵。
开始寻找逻辑炸弹。
检查所有自动化（任务调度程序、cron 作业、UPS 呼叫列表或任何按计划运行或由事件触发的程序）以查找恶意迹象。我说的“全部”是指全部。检查每一个 crontab。检查监控系统中的每一个自动化操作，包括探测器本身。检查每一个 Windows 任务调度程序；甚至工作站。除非你在高度敏感的地区为政府工作，否则你无法承担“全部”的费用，尽可能多地检查。
验证每台服务器上的关键系统二进制文件，确保它们符合要求。这很棘手，尤其是在 Windows 上，而且几乎不可能在一次性系统上追溯执行。
开始寻找 rootkit。顾名思义，它们很难找到，但有扫描仪可以解决此问题。

启动对如此庞大规模的审计的决定需要由非常高的级别做出。将此视为潜在刑事案件的决定将由您的法律团队做出。如果他们选择先进行初步调查，那就去做吧。开始寻找。

如果你找到任何证据，立即停止。

一旦发现可能的情况，请立即通知您的法律团队。
届时将会做出是否将其作为刑事案件处理的决定。
未经训练的人（你）可能采取进一步行动破坏证据你肯定不希望这样，除非你想让罪犯逍遥法外。
如果聘请了外部安全专家，您就是他们的本地专家。按照他们的指示与他们合作。他们了解证据的法律要求，而您不了解。
将会有一个很多安全专家、管理层和法律顾问之间的谈判。这是意料之中的事，与他们合作。

但实际上，你还要走多远呢？这就是风险管理发挥作用。简单地说，这是平衡预期风险与损失的方法。系统管理员在我们决定哪个我们希望将备份放在异地位置；银行保险箱与区域外的数据中心。确定此列表中需要遵循的多少内容是一项风险管理练习。

在这种情况下，评估将从以下几点开始：

离职人员的预期技能水平
逝者的通道
预期会发生邪恶行为
任何邪恶行为的潜在危害
报告实施的邪恶行为与预先发现的邪恶行为的监管要求。一般来说，前者必须报告，而后者则不必报告。

决定深入上述兔子洞多远将取决于这些问题的答案。对于日常管理员离职，如果发生恶意行为的可能性很小，则不需要采取全面行动；更改管理员级密码并重新键入任何面向外部的 SSH 主机可能就足够了。同样，企业风险管理安全态势决定了这一点。

对于因故被解雇或在正常离职后出现邪恶的管理员来说，马戏团就变得更加必要了。最糟糕的情况是偏执的 BOFH 类型被告知他们的职位将在 2 周内被裁员，因为这给了他们足够的时间来做好准备；在这种情况下凯尔关于丰厚遣散费的想法可以缓解各种问题。即使是偏执狂，在收到一张包含 4 个月薪水的支票后，也会原谅很多罪过。这张支票的费用可能比找出他们的罪过所需的安全顾问的费用还低。

但最终，这取决于确定是否发生了邪恶行为的成本与实际发生邪恶行为的潜在成本。

Answer

这真的非常非常困难。它需要非常全面的审计。如果你非常确定老员工留下了什么东西，这些东西会突然消失，或者需要重新雇用他们，因为他们是唯一可以灭火的人，那么是时候假设你被敌对一方入侵了。把它当作一群黑客进来偷东西，你必须收拾他们的烂摊子。因为事实就是这样。

审计每个系统上的每个帐户，以确保它与特定实体相关联。
那些看似与系统有关联但无人能解释的账户是不值得信任的。
需要清除与任何内容无关的帐户（无论如何都需要这样做，但在这种情况下尤其重要）
更改他们可能接触过的所有密码。
对于公用事业账户来说，这可能是一个真正的问题，因为这些密码往往会被硬编码到东西中。
如果他们是负责响应最终用户呼叫的服务台类型，则假设他们拥有他们所协助的任何人的密码。
如果他们拥有 Active Directory 的企业管理员或域管理员权限，则假设他们在离开之前获取了密码哈希的副本。这些哈希现在被破解的速度非常快，以至于需要在几天内强制全公司更改密码。
如果他们有任意 *nix 机器的 root 权限，那么就假设他们已经获取了密码哈希值。
检查所有公钥 SSH 密钥的使用情况，以确保其密钥已被清除，并审核在使用过程中是否有任何私钥被暴露。
如果他们有权访问任何电信设备，请更改任何路由器/交换机/网关/PBX 密码。这可能非常麻烦，因为这可能会造成严重中断。
全面审核您的周边安全安排。
确保所有防火墙漏洞都追踪到已知的授权设备和端口。
确保所有远程访问方法（VPN、SSH、BlackBerry、ActiveSync、Citrix、SMTP、IMAP、WebMail 等）都没有附加额外的身份验证，并彻底审查是否存在未经授权的访问方法。
确保远程 WAN 链接可追溯到全职员工，并进行验证。尤其是无线连接。您不希望他们带着公司付费的手机调制解调器或智能手机离开。联系所有此类用户，确保他们拥有正确的设备。
全面审计内部特权访问安排。这些包括一般用户无法访问的服务器的 SSH/VNC/RDP/DRAC/iLO/IMPI 访问，或对工资单等敏感系统的任何访问。
与所有外部供应商和服务提供商合作，以确保联系方式正确。
确保将他们从所有联系人和服务列表中删除。无论如何，在离开后都应该这样做，但现在尤为重要。
验证所有联系人都是合法的并且具有正确的联系信息，这是为了找到可以冒充的幽灵。
开始寻找逻辑炸弹。
检查所有自动化（任务调度程序、cron 作业、UPS 呼叫列表或任何按计划运行或由事件触发的程序）以查找恶意迹象。我说的“全部”是指全部。检查每一个 crontab。检查监控系统中的每一个自动化操作，包括探测器本身。检查每一个 Windows 任务调度程序；甚至工作站。除非你在高度敏感的地区为政府工作，否则你无法承担“全部”的费用，尽可能多地检查。
验证每台服务器上的关键系统二进制文件，确保它们符合要求。这很棘手，尤其是在 Windows 上，而且几乎不可能在一次性系统上追溯执行。
开始寻找 rootkit。顾名思义，它们很难找到，但有扫描仪可以解决此问题。

启动对如此庞大规模的审计的决定需要由非常高的级别做出。将此视为潜在刑事案件的决定将由您的法律团队做出。如果他们选择先进行初步调查，那就去做吧。开始寻找。

如果你找到任何证据，立即停止。

一旦发现可能的情况，请立即通知您的法律团队。
届时将会做出是否将其作为刑事案件处理的决定。
未经训练的人（你）可能采取进一步行动破坏证据你肯定不希望这样，除非你想让罪犯逍遥法外。
如果聘请了外部安全专家，您就是他们的本地专家。按照他们的指示与他们合作。他们了解证据的法律要求，而您不了解。
将会有一个很多安全专家、管理层和法律顾问之间的谈判。这是意料之中的事，与他们合作。

但实际上，你还要走多远呢？这就是风险管理发挥作用。简单地说，这是平衡预期风险与损失的方法。系统管理员在我们决定哪个我们希望将备份放在异地位置；银行保险箱与区域外的数据中心。确定此列表中需要遵循的多少内容是一项风险管理练习。

在这种情况下，评估将从以下几点开始：

离职人员的预期技能水平
逝者的通道
预期会发生邪恶行为
任何邪恶行为的潜在危害
报告实施的邪恶行为与预先发现的邪恶行为的监管要求。一般来说，前者必须报告，而后者则不必报告。

决定深入上述兔子洞多远将取决于这些问题的答案。对于日常管理员离职，如果发生恶意行为的可能性很小，则不需要采取全面行动；更改管理员级密码并重新键入任何面向外部的 SSH 主机可能就足够了。同样，企业风险管理安全态势决定了这一点。

对于因故被解雇或在正常离职后出现邪恶的管理员来说，马戏团就变得更加必要了。最糟糕的情况是偏执的 BOFH 类型被告知他们的职位将在 2 周内被裁员，因为这给了他们足够的时间来做好准备；在这种情况下凯尔关于丰厚遣散费的想法可以缓解各种问题。即使是偏执狂，在收到一张包含 4 个月薪水的支票后，也会原谅很多罪过。这张支票的费用可能比找出他们的罪过所需的安全顾问的费用还低。

但最终，这取决于确定是否发生了邪恶行为的成本与实际发生邪恶行为的潜在成本。

Question 2

我想说这是一个关于你的关心程度和你愿意支付的金钱之间的平衡。

非常关心：
如果你非常担心，那么你可能需要聘请外部安全顾问，从外部和内部角度对所有内容进行全面扫描。如果这个人特别聪明，你可能会遇到麻烦，他们可能会有一些暂时隐藏的东西。另一种选择是简单地重建一切。这听起来可能非常过分，但你会很好地了解环境，并且你也会制定灾难恢复项目。

略微担心：
如果您只是有点担心，您可能只想这样做：

从外部进行端口扫描。
病毒/间谍软件扫描。Linux 机器的 Rootkit 扫描。
检查防火墙配置，查找任何您不明白的内容。
更改所有密码并查找任何未知帐户（确保他们没有激活不再在公司任职的人，以便他们可以使用该帐户等）。
这也可能是考虑安装入侵检测系统 (IDS) 的好时机。
比平常更仔细地查看日志。

为将来：
以后，当一名管理人员离职时，给他办个好派对，然后当他喝醉时，就载他回家——然后把他扔到最近的河流、沼泽或湖泊里。更严肃地说，这是给管理人员丰厚遣散费的充分理由之一。你希望他们尽可能地对离开感到满意。即使他们不应该感觉良好，谁在乎呢？忍受并让他们开心。假装这是你的错，而不是他们的错。失业保险和遣散费上涨的成本与他们可能造成的损失相比微不足道。这一切都是为了走阻力最小的道路，尽可能少地制造麻烦。

Answer

我想说这是一个关于你的关心程度和你愿意支付的金钱之间的平衡。

非常关心：
如果你非常担心，那么你可能需要聘请外部安全顾问，从外部和内部角度对所有内容进行全面扫描。如果这个人特别聪明，你可能会遇到麻烦，他们可能会有一些暂时隐藏的东西。另一种选择是简单地重建一切。这听起来可能非常过分，但你会很好地了解环境，并且你也会制定灾难恢复项目。

略微担心：
如果您只是有点担心，您可能只想这样做：

从外部进行端口扫描。
病毒/间谍软件扫描。Linux 机器的 Rootkit 扫描。
检查防火墙配置，查找任何您不明白的内容。
更改所有密码并查找任何未知帐户（确保他们没有激活不再在公司任职的人，以便他们可以使用该帐户等）。
这也可能是考虑安装入侵检测系统 (IDS) 的好时机。
比平常更仔细地查看日志。

为将来：
以后，当一名管理人员离职时，给他办个好派对，然后当他喝醉时，就载他回家——然后把他扔到最近的河流、沼泽或湖泊里。更严肃地说，这是给管理人员丰厚遣散费的充分理由之一。你希望他们尽可能地对离开感到满意。即使他们不应该感觉良好，谁在乎呢？忍受并让他们开心。假装这是你的错，而不是他们的错。失业保险和遣散费上涨的成本与他们可能造成的损失相比微不足道。这一切都是为了走阻力最小的道路，尽可能少地制造麻烦。

Question 3

不要忘记 Teamviewer、LogmeIn 等...我知道这已经提到过了，但对每个服务器/工作站进行软件审计（有很多应用程序）不会有害，包括使用 nmap 的 NSE 脚本进行子网扫描。

Answer

不要忘记 Teamviewer、LogmeIn 等...我知道这已经提到过了，但对每个服务器/工作站进行软件审计（有很多应用程序）不会有害，包括使用 nmap 的 NSE 脚本进行子网扫描。

Question 4

运行良好的基础设施将拥有相应的工具、监控和控制措施，可以在很大程度上防止这种情况发生。这些措施包括：

适当的网络分段和防火墙
基于主机的IDS
基于网络的入侵检测系统
中央日志记录
访问控制
切换控制

如果这些工具正确到位，您将拥有审计线索。否则，您将必须执行完整的渗透测试。

第一步是审核所有访问并更改所有密码。关注外部访问和潜在入口点——这是您最应该花时间的地方。如果外部足迹不合理，请消除或缩小它。这将使您有时间专注于更多内部细节。还要注意所有出站流量，因为程序化解决方案可能会将受限数据传输到外部。

最终，作为一名系统和网络管理员，您将可以完全访问大多数（如果不是全部）内容。与此同时，也需要承担高度的责任。聘用具有这种责任级别的人员不应掉以轻心，应从一开始就采取措施将风险降至最低。如果聘用了专业人士，即使他们离开时关系不和，他们也不会采取不专业或非法的行动。

Server Fault 上有许多详细的帖子，介绍了正确的系统安全审计以及如果有人被解雇该怎么办。这种情况并不是独一无二的。

Answer