你如何从以前的IT人员search后门？

真的很难。 这需要非常完整的审计。 如果你确定老人留下的东西会变得繁荣，或者需要再雇用，因为他们是唯一一个可以放火的人，那么现在是时候假设你已经被植根了敌对派对。 对待它就像一群黑客进来偷东西，你必须清理后，他们的混乱。 因为这就是它。

• 审计每个系统上的每个帐户，以确保它与特定实体相关联。
  • 似乎与系统相关的帐户，但没有人可以说明的帐户是不信任的。
  • 与任何东西无关的帐户都需要清除（无论如何都需要这样做，但在这种情况下尤其重要）
• 改变他们可能会接触到的密码。
  • 这对于实用程序帐户来说可能是一个真正的问题，因为这些密码往往会被硬编码进入事物。
  • 如果他们是对最终用户呼叫的帮助台types，则假定他们有他们协助的任何人的密码。
  • 如果他们有Active Directory的企业pipe理员或域pipe理员，则假设他们在离开前抓取了密码哈希的副本。 现在可以破解这么快，以至于公司范围的密码更改将需要在几天内被迫。
  • 如果他们有根访问任何* nix框假设他们走了密码散列。
  • 查看所有公用密钥的SSH密钥用法，以确保其密钥已被清除，并审核在私钥处于公开状态时是否暴露。
  • 如果他们有权访问任何电信设备，请更改任何路由器/交换机/网关/集团电话密码。 这可能是一个真正的皇室痛苦，因为这可能涉及重大的中断。
• 全面审核您的周边安全措施。
  • 确保所有防火墙漏洞都跟踪到已知的授权设备和端口。
  • 确保所有远程访问方法（VPN，SSH，BlackBerry，ActiveSync，Citrix，SMTP，IMAP，WebMail等）没有额外的身份validation，并对其进行全面审查，以获取未经授权的访问方法。
  • 确保远程WAN链接跟踪完全就业人员，并validation它。 特别是无线连接。 你不希望他们走公司付费的手机调制解调器或智能手机。 联系所有这些用户，以确保他们有正确的设备。
• 充分审计内部特权访问安排。 这些是像SSH / VNC / RDP / DRAC / iLO / IMPI访问一般用户没有的服务器，或任何访问像工资单这样的敏感系统。
• 与所有外部供应商和服务提供商合作，确保联系是正确的。
  • 确保从所有联系和服务列表中删除它们。 在离开之后应该这样做，但现在是非常重要的。
  • validation所有联系人是合法的，并有正确的联系信息，这是为了find可以模拟的鬼魂。
• 开始寻找逻辑炸弹。
  • 检查所有自动化（任务调度程序，定时任务，UPS呼出列表或任何按计划运行或由事件触发的事件）以查找恶意的迹象。 所有“我的意思是所有”。 检查每一个crontab。 检查监控系统中的每一个自动操作，包括探头本身。 检查每个Windows任务计划程序; 甚至工作站。 除非你在高度敏感的地区为政府工作，否则你将无法承受“全部”，尽可能地做到这一点。
  • validation每个服务器上的密钥系统二进制文件，以确保它们应该是。 这很棘手，特别是在Windows上，几乎不可能在一次性系统上追溯。
  • 开始寻找rootkit。 根据定义他们很难find，但有这样的扫描仪。

一点都不容易，甚至不是很靠近。 如果没有明确的证据certificate现在的pipe理员实际上是邪恶的，那么certificate所有这一切的代价是非常困难的。 以上全部甚至不适用于公司资产，这需要聘请安全顾问来完成这项工作。

如果发现真正的邪恶，特别是如果邪恶是某种软件的话，那么经过培训的安全专业人员是最能确定问题的广度的。 这也是一个刑事案件可以开始build立的时候，你真的希望受过处理证据训练的人来做这个分析。

但是，真的，你还有多远？ 这就是风险pipe理的起点。 简单来说，这是平衡预期风险与损失的方法。 系统pipe理员在决定我们要备份哪个场外位置时会这样做; 银行安全保pipe箱与地区外的数据中心。 弄清楚这个清单需要多less是风险pipe理的一个练习。

在这种情况下，评估将从以下几件事开始：

• 离开的预期技能水平
• 离开的访问
• 期待邪恶已经完成
• 任何邪恶的潜在伤害
• 报告罪恶的监pipe要求与预先发现的邪恶。 一般来说，你必须报告前者，而不是后者。

上述兔子洞下潜的程度取决于这些问题的答案。 对于期望邪恶的日常pipe理人员离职而言，不需要充分的马戏团; 更改pipe理员级密码并重新键入任何面向外部的SSH主机可能就足够了。 再次，企业风险pipe理安全态势决定了这一点。

对于因为原因而被终止的pipe理员，或者在正常离开后出现的恶魔，马戏团变得更加需要。 最坏的情况是偏执的BOFH型，他们已经被告知他们的位置将在2周内被取消，因为这给了他们足够的时间做好准备; 在这样的情况下， 凯尔的慷慨遣散一揽子计划可以缓解所有问题。 即使偏执狂也能在支付4个月的支票到来之后原谅很多罪过。 这个检查可能会花费比安全顾问所需要的费用更less，以查明他们的罪恶。

但最终归结为确定是否已经完成了邪恶的成本与实际上正在实施的任何邪恶的潜在成本之间的成本。

我想说，这是一个多less关注你有vs你愿意支付的钱的平衡。

非常关心：
如果您非常担心，那么您可能需要聘请外部安全顾问，从外部和内部angular度对所有内容进行全面扫描。 如果这个人特别聪明，你可能会遇到麻烦，他们可能会有一些东西会hibernate一段时间。 另一种select是简单地重build一切。 这听起来可能非常过分，但是您将会很好地学习环境，并且您也可以制作灾难恢复项目。

轻度关注：
如果你只是轻度担心，你可能只想做：

• 从外面进行端口扫描。
• 病毒/间谍软件扫描。 Rootkit扫描Linux机器。
• 查看防火墙configuration，了解任何您不了解的内容。
• 改变所有的密码，并寻找任何未知的帐户（确保他们没有激活不再与公司的人，所以他们可以使用等）。
• 这也许是考虑安装入侵检测系统（IDS）的好时机。
• 比平时更密切地观看日志。

为将来：
当pipe理员离开时给他一个很好的聚会，然后当他喝醉时，只是让他回家 – 然后在最近的河stream，沼泽或湖泊处置他。 更严重的是，这是给pipe理员慷慨遣散费的好理由之一。 你希望他们尽可能地离开感觉很好。 即使他们不应该感觉良好，谁在乎呢，把它吸了起来，让他们开心。 假装这是你的错，而不是他们的错。 失业保险成本上升和遣散费用的成本与他们所能造成的损失相比， 这是所有关于阻力最小的path，并创造尽可能less的戏剧。

首先要做的是 – 在场外存储（例如磁带，或断开连接并存储的硬盘）上备份所有内容。 这样，如果发生了恶意的事情，你可能会恢复一些。

接下来，梳理你的防火墙规则。 任何可疑的开放端口应该closures。 如果有后门，那么阻止访问它将是一件好事。

用户帐户 – 寻找你心怀不满的用户，并确保他们的访问被尽快删除。 如果有SSH密钥或/ etc / passwd文件或LDAP条目，甚至是.htaccess文件，都应该被扫描。

在您的重要服务器上查找应用程序和主动侦听端口。 确保连接到它们的运行进程看起来合理。

最终，一个决心不满的员工可以做任何事情 – 毕竟他们对所有内部系统都有所了解。 希望他们有诚信不要采取负面的行动。

不要忘记Teamviewer，LogmeIn等等。我知道这已经被提及，但是每个服务器/工作站的软件审计（许多应用程序在那里）都不会受到影响，包括使用nmap的子网扫描NSE脚本。

一个运行良好的基础设施将会有一些工具，监控和控制措施来在很大程度上防止这种情况发生。 这些包括：

• 正确的networking分段和防火墙
• 基于主机的IDS
• 基于networking的IDS
• 中央logging
• 访问控制
• 切换控制

如果这些工具正确安装，您将拥有审计线索。 否则，你将不得不进行全面的渗透testing 。

第一步是审计所有访问并更改所有密码。 关注外部访问和潜在的切入点 – 这是您花费最佳时间的地方。 如果外部足迹不合理，请将其消除或缩小。 这将使您有时间专注于内部的更多细节。 请注意所有出站stream量，因为程序化解决scheme可能会将受限制的数据从外部传输。

最终，作为一个系统和networkingpipe理员将允许完全访问大部分（如果不是全部的话）。 有了这个，来了高度的责任。 不应掉以轻心地采取这种责任水平，应采取措施将风险从一开始就降到最低。 如果聘请专业人员，即使不善于处理，也不会采取不专业或非法的行动。

服务器故障中有许多详细的post，涵盖了适当的系统审计安全以及如何终止某人的行为。 这种情况并不是独一无二的。

一个聪明的BOFH可以做以下任何一项：

1. 在知名端口启动netcat出站连接以获取命令的定期程序。 例如港口80.如果做得好，来回的交通将会出现该港口的交通。 所以如果在端口80上，它将会有HTTP标头，并且有效载荷将被embedded在图像中。

2. 非周期性命令，在特定位置查找要执行的文件。 位置可以位于用户计算机，networking计算机，数据库中的额外表，临时假脱机文件目录中。

3. 检查是否还有一个或多个其他后门程序的程序。 如果不是，那么安装一个变体，并通过电子邮件发送到BOFH

4. 由于备份的方式现在已经在磁盘上完成了，请修改备份以包含至less一些root工具包。

如何保护自己免受这样的事情：

1. 当BOFH职员离开时，在DMZ中安装一个新的箱子。 它获得通过防火墙的所有stream量的副本。 在这个stream量中寻找exception。 后者是不平凡的，特别是如果BOFH擅长模仿正常的交通模式。

2. 重做您的服务器，以便将重要的二进制文件存储在只读介质上。 也就是说，如果你想修改/ bin / ps，你必须去机器，物理移动一个交换机从RO到RW，重新启动单个用户，重新安装该分区rw，安装新的ps副本，同步，重新启动，拨动开关。 以这种方式完成的系统至less具有一些可信的程序和用于进一步工作的可信内核。

当然，如果你使用的是Windows，那么你就会被弄糊涂了。

3. 划分您的基础结构。 对于中小型企业来说是不合理的。

方法来防止这种事情。

1. 请小心申请。

2. 看看这些人是否不满，提前解决人事问题。

3. 当你用这种权力解雇pipe理员时，

   一个。 他的工资或工资的一小部分会持续一段时间，或者直到IT人员无法解释的系统行为发生重大变化。 这可能会呈指数衰减。 例如，他获得6个月的全额工资，6个月的80％，接下来的6个月的80％。

   湾 他的部分工资是股票期权的forms，在他离开后的一到五年内不会生效。 离开时这些选项不会被删除。 他有动力确保公司在5年内运行良好。

即使在pipe理员离开之前，这个问题依然存在。 只是在那个时候更多地注意到这个问题。

– >需要一个stream程来审计每一个变化，而stream程的一部分就是变更只能通过它来应用。

一旦离开，一定要告诉公司里的每个人。 这将消除社会工程攻击载体。 如果公司很大，那么确保需要知道的人知道。

如果pipe理员还负责编写代码（企业网站等），那么你还需要做代码审计。

每个人都被遗漏了一个很大的问题。

请记住，不只是系统。

• 供应商是否知道这个人不是工作人员，不应该被允许访问（colo，telco）
• 是否有任何外部托pipe服务可能有单独的密码（交换，CRM）
• 他们是否有勒索材料（好吧，这已经开始有点…）

除非你真的很偏执，否则我的build议只是运行几个TCP / IP扫描工具（tcpview，wireshark等）来查看是否有任何可疑的尝试联系外部世界。

更改pipe理员密码，并确保没有“额外的”pipe理员帐户不需要在那里。

此外，不要忘记更改无线访问密码，并检查您的安全软件设置（特别是AV和防火墙）

检查服务器上的日志（以及他们直接使用的计算机）。 不仅要查看他们的帐户，还要查看不知道pipe理员的帐户。 在日志中寻找漏洞。 如果最近在服务器上清除了一个事件日志，这是可疑的。

检查您的Web服务器上文件的修改date。 运行一个快速脚本来列出所有最近更改的文件并查看它们。

检查AD中所有组策略和用户对象的最后更新date。

validation所有备份是否正常工作，现有的备份是否仍然存在。

检查运行卷影复制服务的服务器是否存在以前的历史logging。

我已经看到许多好东西列出，只是想添加这些其他的东西，你可以快速检查。 对所有事情进行全面的审查是值得的。 但从最近的变化的地方开始。 其中一些东西可以快速检查，并可以提出一些早期的红旗来帮助你。

基本上，我会说，如果你有一个合格的BOFH，你注定了…有很多方法安装炸弹，这是不会被注意到的。 而如果你的公司习惯把那些被解雇的“手工军人”弹射出去，那么一定要把这个炸弹埋在裁员的面前！

最好的方法是尽量减less生气的pipe理人员的风险…避免“裁员削减成本”（如果他是一个胜任和恶性的BOFH，你可能会遭受的损失可能会比你从裁员）……如果他犯了一个不可接受的错误，最好让他作为替代裁员的方法来纠正（下一次裁员）……下一次他会更谨慎，不要再犯这个错误（这会增加在他的价值中）…但是一定要达到好的目标（通常具有良好的个人魅力的无能的人拒绝他们自己的过错，而不是那个有能力但较less社会的人）。

如果你在最坏的意义上面对真正的BOFH（而这种行为是裁员的原因），你最好准备从头开始重新安装他所接触过的所有系统（这可能意味着每一台电脑）。

不要忘记，一点点的变化可能会使整个系统破坏…（setuid位，如果不进行跳转，如果不进行跳转，…），甚至编译工具可能已经被破坏。

祝你好运，如果他真的知道什么，并提前设置任何东西。 即使是一个愚蠢的人也可以打电话/发送电子邮件/传真给电信公司，甚至要求他们白天在电路上运行完整的testing模式。

严重的是，离开时显示一点点爱和几个macros伟，真的减less了风险。

哦，是啊，如果他们打电话来“获取密码或什么”提醒他们你的1099的费率和每小时1小时和100旅行费用，无论你必须在任何地方…

嘿，那和我的行李一样！ 1,2,3,4！

我build议你从外围开始。 validation您的防火墙configuration确保您没有不可预期的入口点进入networking。 确保networking在物理上安全，防止他重新进入并访问任何计算机。

validation您有完全正常工作和可恢复的备份。 好的备份可以防止数据丢失，如果他做了一些破坏性的事情。

检查任何允许通过外围的服务，并确保他被拒绝访问。 确保这些系统具有良好的工作日志logging机制。

删除所有内容，重新开始;）

烧它….烧一切。

这是唯一确定的方法。

然后，烧掉你所有的外部利益，域名注册商，信用卡支付提供商。

再想一想，或许更容易要求任何Bikie伙伴说服个人，他们不打扰你是更健康的。

据推测，一个有能力的pipe理员一路上做了所谓的基本系统configuration的备份。 假设有一些合理的频率来完成备份，从而可以恢复已知的安全备份也是安全的。

考虑到有些事情会发生变化，如果可能的话，从备份虚拟化运行，直到可以确保主安装不受影响是个不错的主意。

假设最坏的情况变得明显，你可以合并你所能做的，然后用手input剩下的部分。

我感到震惊，没有人提到在我之前使用安全备份。 这是否意味着我应该把简历提交给你的人力资源部门？

试着去考虑他的观点。

你知道你的系统和它做什么。 所以你可以试着想象一下，即使你不再是系统pipe理员，从外面连接的东西也可以被发明出来。

根据networking基础设施以及所有这些如何工作，你是最好的人，可能知道该怎么做，以及这可能位于哪里。

但是，正如你从一个实验性的说法中看到的 ，你必须到处搜寻

networking跟踪

主要目标是远程控制您的系统，通过互联网连接，您可以观看（甚至更换，因为这可能会损坏!!）防火墙，并尝试识别每个活动连接。

更换防火墙不能保证完全保护，但确保没有任何隐藏的东西。 所以如果你看防火墙转发的数据包，你必须看到包括有害stream量的所有东西。

你可以使用tcpdump来跟踪所有的东西（比如美国的偏执狂），并使用wireshark等高级工具浏览转储文件。 花几个时间看看这个命令是什么（磁盘上需要100Gb的可用空间）：

 tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null & 

不要相信一切

即使你发现了一些东西，你也不能肯定你发现了什么坏东西！

最后，在你重新安装所有东西 （从可信赖的来源！）之前，你将不会很安静。

如果你不能重做服务器，那么最好的办法就是尽可能locking你的防火墙。 遵循每一个可能的入站连接，并确保它减less到绝对最低限度。

更改所有密码。

replace所有的ssh密钥。

一般来说它相当难…

但是如果它是一个网站，只要看看loginbutton后面的代码即可。

我们发现一个“如果用户名='pipe理'”键入的东西一次…

实质上，让以前的IT人员的知识毫无价值。

改变你可以改变的一切，而不会影响IT基础设施。

改变或多样化供应商是另一个好的做法。