我刚开始就职的一家公司曾因泄露数据而解雇了一名 IT 员工。
我只能说以下几点:
我们将 Firebird DB 与另一家公司 Proxmox 编写的应用程序结合使用,以虚拟化 Windows Server 2008 R2、SQL Server、云核心 Mikrotik 路由器和一些其他 Mikrotik 设备。
我并不是 100% 确定,但是有没有一些快速的方法来检查是否还留有一些后门,而无需中断内部流程并重新格式化所有内容?
之前这个人真的很棒,用 C++ 和 C# 写过软件。我还知道他写过一些汇编程序,并在 ollydbg 中破解过几个程序。
答案1
唯一可以绝对确定的方法是清除所有系统并从头开始重新安装。您还需要审核所有本地生成的软件和配置,以确保它们不包含后门。这是一项不简单的任务,需要付出不小的成本。
除此之外你真的没什么可做的。
显然当你决定做什么的时候
- 审核所有防火墙规则的有效性
- 审计所有账户的有效性
- 审核所有 sudoers 文件的有效性
- 更改所有密码和密钥
但这还只是表面现象。
答案2
首先,被解雇的系统管理员最重要的目标是清理自己的过去,特别是如果当时离职时信誉不佳。如果以前的系统遭到攻击,他不会得到任何好处(尤其是他的旧工作),但他可能会失去很多。我曾多次面临类似的担忧,但在我看来,这些担忧基本上是没有根据的。我认为更有可能的是,如果你向他提出一些问题,他会非常友好并乐于助人(然后你应该向你的老板提及这一点)。
现在考虑一种非常不可能的情况,那就是他真的想做一些有害的事情。
将整个网络存档到某个对他来说无法到达的位置(超出他职责范围的防火墙后面、锁柜中的硬盘等)。
一旦你备份了,他就再也无法掩盖自己的踪迹了。如果发生恶意攻击,它将作为证据。
你永远无法 100% 确定(除非重新安装整个网络)。你可以通过检查表,但你永远无法确定你已经检查了所有内容。
即使你发现了漏洞,你也无法证明它是故意设置的。请注意,软件开发人员也存在同样的问题。工作不力并不构成犯罪,你也无法证明他是故意“忘记”更改默认数据库管理员密码。或者他设置密码的用户“意外”获得了连接你的绝密数据库所需的权限。
在大多数情况下,系统中最重要的部分不是操作系统,而是操作系统上管理的数据。如果这些数据是私人数据,是客户的财产,则尤其如此。他可能早在他最后一个工作日之前就窃取了这些数据,对其进行加密,并将它们保存在只有他自己知道的地方。因此,一定要检查是否有迹象表明他在离开前复制了您的数据。但请注意,如果他“正确地”复制了您的数据,您将什么也找不到。
答案3
@JonasWielicki 将这个问题与我们的一个典型安全问题进行了比较(如何处理受感染的服务器)我坚持我的回答那但有一个重要的区别。
在这个问题中,服务器是已知受到损害。据我所知这这个问题在本案中尚未确定。因此,我不确定我们是否需要立即使用火焰喷射器。
人们经常会离开一个组织,即使他们离开时条件很差,也不会有什么不好的事情发生。仅仅擅长编程(这是你在问题 OP 中向我们展示的所有“证据”)并不意味着某人本身就是黑客,也不意味着他们离开后可能会攻击你。
如果你真的担心,我建议你聘请外部安全公司来审核你的系统。这不仅有望发现前任系统管理员可能留下的任何小惊喜,而且还将为你今后的所有安全问题和担忧奠定良好的基础。
答案4
你需要决定自己有多确定。从轨道发射核弹的成本效益永远不会高。
管理人员是否要求保证,或者您只是想对您继承的系统进行一些合理的检查?
如果是经理,现在你就可以知道他们有多通情达理。他们愿意满足于“相当确定”吗?也许你可以跟随被解雇的人去新工作!
如果您想要检查自己的系统,我建议您先设置一个网络监控系统,比如 snort。查找意外流量,比如“为什么系统每天都要与俄罗斯的这台服务器通信?”或“为什么有人通过我的网络服务器进行 IRC?”(我就遇到过这种情况)。
我认为@peterh关于建立一个大型档案库的建议确实是一个好主意。我还认为他关于被解雇的人有帮助的建议完全是现实的。这类问题 90% 都是愚蠢的管理造成的。