이전 IT 담당자로부터 백도어를 어떻게 검색합니까?

우리는 모두 그것이 일어나는 것을 알고 있습니다. 쓰라린 나이 든 IT 직원은 새로운 직원과 즐거운 시간을 보내고 회사가없는 나쁜 상황을 회사에 보여주기 위해 시스템과 네트워크에 백도어 를 남겨 둡니다 .

나는 개인적으로 이것을 경험 한 적이 없다. 내가 경험 한 가장 큰 것은 떠나기 직전에 물건을 훔친 사람입니다. 그래도 이것이 일어날 것이라고 확신합니다.

따라서 신뢰할 수없는 네트워크를 인수 할 때 모든 것이 안전하고 안전하게되도록하려면 어떤 단계를 수행해야합니까?

정말 정말 정말 어렵습니다. 매우 완전한 감사가 필요합니다. 노인이 붐을 일으킬 무언가를 남겨두고 있다고 확신하거나 불을 피울 수있는 유일한 사람이기 때문에 다시 고용 해야하는 경우, 귀하가 적대적인 파티. 해커 그룹이 들어와 물건을 훔친 것처럼 취급하십시오. 그러면 엉망으로 정리해야합니다. 그것이 바로 그 때문입니다.

• 모든 시스템의 모든 계정을 감사하여 특정 엔터티와 연결되어 있는지 확인하십시오.
  • 시스템과 관련이있는 것으로 보이지만 아무도 설명 할 수없는 계정은 불신해야합니다.
  • 아무것도 연결되지 않은 계정은 제거해야합니다 (어쨌든 수행해야하지만이 경우 특히 중요합니다).
• 암호가되었을 수있는 모든 암호를 변경하십시오.
  • 유틸리티 계정에는 암호가 하드 코딩되는 경향이 있으므로 이는 실제 문제 일 수 있습니다.
  • 최종 사용자의 전화에 응답하는 헬프 데스크 유형 인 경우 지원 한 사람의 암호를 가지고 있다고 가정하십시오.
  • Enterprise Admin 또는 Domain Admin이 Active Directory에있는 경우 암호 해시를 떠나기 전에 복사본을 가져간 것으로 가정합니다. 이 문제는 너무 빨리 해체되어 회사 전체의 비밀번호 변경이 며칠 내에 이루어져야합니다.
  • * nix 박스에 루트 액세스 권한이있는 경우 비밀번호 해시로 시작했다고 가정합니다.
  • 모든 공개 키 SSH 키 사용을 검토하여 키가 제거되었는지 확인하고 개인 키가 노출되어 있는지 확인하십시오.
  • 통신 장비에 액세스 할 수있는 경우 라우터 / 스위치 / 게이트웨이 / PBX 암호를 변경하십시오. 상당한 정전이 발생할 수 있기 때문에 이것은 정말로 왕의 고통 일 수 있습니다.
• 경계 보안 조정을 완전히 감사하십시오.
  • 모든 방화벽 구멍이 알려진 승인 된 장치 및 포트를 추적하도록하십시오.
  • 모든 원격 액세스 방법 (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail 등)에 추가 인증이 없는지 확인하고 무단 액세스 방법을 철저히 조사하십시오.
  • 원격 WAN 링크가 완전히 고용 된 사람들을 추적하고 확인하십시오. 특히 무선 연결. 당신은 그들이 회사 지불 휴대 전화 모뎀이나 스마트 폰으로 걸어 가고 싶지 않아. 그러한 모든 사용자에게 연락하여 올바른 장치를 가지고 있는지 확인하십시오.
• 내부 권한 액세스 조정을 완전히 감사합니다. 일반적인 사용자가없는 서버에 대한 SSH / VNC / RDP / DRAC / iLO / IMPI 액세스 또는 급여와 같은 민감한 시스템에 대한 액세스와 같은 것들입니다.
• 모든 외부 공급 업체 및 서비스 제공 업체와 협력하여 연락처가 정확한지 확인하십시오.
  • 모든 연락처 및 서비스 목록에서 제거되었는지 확인하십시오. 이것은 출발 후 어쨌든 수행되어야하지만 지금은 매우 중요합니다.
  • 모든 연락처가 합법적이고 올바른 연락처 정보를 가지고 있는지 확인합니다. 이것은 가장 할 수있는 고스트를 찾는 것입니다.
• 논리 폭탄 사냥을 시작하십시오.
  • 악의 징후가 있는지 모든 자동화 (작업 스케줄러, cron 작업, UPS 콜 아웃 목록 또는 일정에 따라 실행되거나 이벤트 트리거되는 항목)를 확인하십시오. "모두"는 모든 것을 의미합니다. 모든 단일 crontab을 확인하십시오. 프로브 자체를 포함하여 모니터링 시스템에서 모든 단일 자동 조치를 점검하십시오. 모든 단일 Windows 작업 스케줄러를 확인하십시오. 심지어 워크 스테이션. 매우 민감한 지역에서 정부를 위해 일하지 않는 한 "모두"를 감당할 수는 없으며 최대한 많이하십시오.
  • 모든 서버에서 주요 시스템 바이너리의 유효성을 검사하여 원하는대로 유지하십시오. 특히 Windows에서는 까다 롭고 일회성 시스템에서는 소급 적용 할 수 없습니다.
  • 루트킷 사냥을 시작하십시오. 정의 상으로는 찾기가 어렵지만 이에 대한 스캐너가 있습니다.

최소한 쉬운 일도 아니고 원격으로도 닫히지 않습니다. 이 모든 비용을 정당화하는 것은 현재 전직 관리자가 실제로 악했다는 확실한 증거 없이는 정말 어려울 수 있습니다. 위의 모든 내용은 회사 자산으로도 가능하지 않으므로이 작업 중 일부를 수행하려면 보안 컨설턴트를 고용해야합니다.

실제 악이 감지되면, 특히 악이 어떤 종류의 소프트웨어에있는 경우, 숙련 된 보안 전문가가 문제의 폭을 결정하는 것이 가장 좋습니다. 이것은 또한 형사 사건이 시작될 수있는 시점이며 증거를 다루기 위해 훈련을받은 사람들이이 분석을 수행하기 를 정말로 원합니다.

그러나 실제로 얼마나 멀리 가야합니까? 여기에서 리스크 관리 가 시작됩니다. 간단히 말해서, 이는 예상 위험과 손실의 균형을 맞추는 방법입니다. Sysadmin은 백업을 수행 할 오프 사이트 위치를 결정할 때이 작업을 수행합니다 . 은행 안전 금고와 지역 외 데이터 센터. 이 목록 중 얼마나 많은 양을 따라야하는지 파악하는 것은 위험 관리에있어 중요한 실습입니다.

이 경우 평가는 몇 가지로 시작됩니다.

• 출발의 예상 기술 수준
• 출발하는 사람들의 접근
• 악이 이루어 졌다는 기대
• 모든 악의 잠재적 피해
• 가해자를 선포하기위한 규제 요건은 선취 된 악을 선포합니다. 일반적으로 전자를 신고해야하지만 나중에는보고하지 않아야합니다.

위의 토끼 구멍에서 얼마나 멀리 다이빙을하는지 결정하는 것은 이러한 질문에 대한 답변에 달려 있습니다. 악에 대한 기대가 매우 적은 일상적인 관리자 출발에는 전체 서커스가 필요하지 않습니다. 관리자 수준의 암호를 변경하고 외부에있는 SSH 호스트를 다시 입력하는 것으로 충분합니다. 다시 한 번 기업 위험 관리 보안 상태가이를 결정합니다.

원인으로 인해 해지되거나 정상 출발 후 악이 자른 관리자에게는 서커스가 더 필요합니다. 최악의 시나리오는 편집 할 수있는 충분한 시간을 제공하기 때문에 2 주 후에 자신의 위치가 중복 될 것이라는 알림을받은 편집증 BOFH 유형입니다. 이와 같은 상황에서 관대 한 퇴직금의 카일의 생각 문제의 모든 종류를 완화 할 수 있습니다. 편집증조차도 4 개월의 급여가 포함 된 수표가 도착하면 많은 죄를 용서받을 수 있습니다. 이 수표는 아마도 보안 컨설턴트가 자신의 악을 제거하는 데 필요한 비용보다 저렴할 것입니다.

그러나 궁극적으로 그것은 악이 행해졌는지 여부를 결정하는 비용과 실제로 행해지는 악의 잠재적 비용에 달려 있습니다.

나는 그것이 당신이 얼마나 많은 관심사 대 당신이 지불하고자하는 돈의 균형이라고 말할 것입니다.

매우 염려 : 매우 염려되는
경우 외부 보안 컨설턴트를 고용하여 외부 및 내부 관점에서 모든 것을 완벽하게 스캔 할 수 있습니다. 이 사람이 특히 똑똑하다면 곤경에 빠질 수 있습니다. 잠깐 동안 휴면 상태가 될 수 있습니다. 다른 옵션은 단순히 모든 것을 다시 작성하는 것입니다. 이것은 매우 과도하게 들릴 수 있지만 환경을 잘 배우고 재해 복구 프로젝트도 만듭니다.

경미한 우려 : 경미하게 우려되는 경우 다음을 수행 할 수도 있습니다.

• 외부에서 포트 스캔.
• 바이러스 / 스파이웨어 검사. Linux 시스템 용 루트킷 스캔.
• 방화벽 구성을 이해하지 못하는 부분을 살펴보십시오.
• 모든 비밀번호를 변경하고 알 수없는 계정을 찾습니다 (더 이상 회사에없는 사람을 활성화하지 않아서 사용하지 않도록하십시오).
• 또한 IDS (Intrusion Detection System) 설치를 검토하기에 좋은시기 일 수 있습니다.
• 평소보다 로그를 자세히 살펴보십시오.

미래를 위해 :
관리자가 떠날 때 좋은 파티를 열고 술에 취했을 때 그냥 집으로 차를 제공하십시오. 가장 가까운 강, 습지 또는 호수에 버립니다. 더 심각하게, 이것은 관리자에게 관대 한 퇴직금을주는 좋은 이유 중 하나입니다. 당신은 그들이 가능한 한 많이 떠나는 것에 대해 기분이 좋기를 원합니다. 기분이 좋지 않더라도 누가 신경 쓰나요? 그것이 당신의 잘못이며 그들의 잘못이 아닌 척하십시오. 실업 보험 비용과 퇴직금 패키지 비용은 그들이 할 수있는 피해와 비교되지 않습니다. 이것은 저항이 가장 적고 가능한 한 적은 드라마를 만드는 경로에 관한 것입니다.

Teamviewer, LogmeIn 등을 잊지 마십시오 ...이 언급은 이미 알고 있지만 nmap의 서브넷 스캔을 포함하여 모든 서버 / 워크 스테이션의 소프트웨어 감사 (많은 응용 프로그램이 아프지 않음) NSE 스크립트.

가장 먼저해야 할 일은 오프 사이트 스토리지 (예 : 테이프 연결을 끊고 스토리지에 넣은 HDD)에있는 모든 것을 백업하십시오. 그렇게하면 악성이 발생하면 약간 복구 할 수 있습니다.

다음으로 방화벽 규칙을 살펴보십시오. 의심스러운 열린 포트는 모두 닫아야합니다. 뒷문이 있으면 접근을 막는 것이 좋습니다.

사용자 계정-불만을 가진 사용자를 찾아 최대한 빨리 액세스를 제거하십시오. SSH 키 또는 / etc / passwd 파일이 있거나 LDAP 항목 (.htaccess 파일 포함)도 모두 스캔해야합니다.

중요한 서버에서 응용 프로그램 및 활성 수신 포트를 찾으십시오. 첨부 된 실행중인 프로세스가 적절한 지 확인하십시오.

궁극적으로 결정된 불만을 품은 직원은 무엇이든 할 수 있습니다. 결국 모든 내부 시스템에 대한 지식이 있습니다. 우리는 그들이 부정적인 행동을 취하지 않기 위해 성실을 가지기를 희망합니다.

잘 운영되는 인프라는이를 방지하기위한 도구, 모니터링 및 제어 기능을 갖추고 있습니다. 여기에는 다음이 포함됩니다.

• 적절한 네트워크 세분화 및 방화벽
• 호스트 기반 IDS
• 네트워크 기반 IDS
• 중앙 로깅
• 액세스 제어
• 컨트롤 변경

이러한 도구가 제자리에 있으면 감사 내역이 표시됩니다. 그렇지 않으면 전체 침투 테스트 를 수행해야합니다 .

첫 번째 단계는 모든 액세스를 감사하고 모든 비밀번호를 변경하는 것입니다. 외부 액세스 및 잠재적 진입 점에 집중하십시오. 외부 설치 공간이 정당화되지 않은 경우 제거하거나 축소하십시오. 이를 통해 내부적으로 더 많은 세부 사항에 집중할 수 있습니다. 프로그래밍 방식의 솔루션은 제한된 데이터를 외부로 전송할 수 있으므로 모든 아웃 바운드 트래픽을 알고 있어야합니다.

궁극적으로 시스템 및 네트워크 관리자는 모든 것이 아니라면 대부분에 대한 전체 액세스를 허용합니다. 이를 통해 높은 수준의 책임이 따릅니다. 이 책임 수준의 채용을 가볍게하지 말아야하며 처음부터 위험을 최소화하기위한 조치를 취해야합니다. 전문가를 고용하고 나쁜 조건을 떠나도 비전문가이거나 불법적 인 행동을 취하지 않을 것입니다.

서버 결함에 대한 자세한 게시물은 보안에 대한 적절한 시스템 감사와 누군가의 해지시해야 할 일을 다룹니다. 이 상황은 그러한 상황과 다릅니다.

영리한 BOFH는 다음 중 하나를 수행 할 수 있습니다.

1. 명령을 선택하기 위해 잘 알려진 포트에서 netcat 아웃 바운드 연결을 시작하는 주기적 프로그램. 예 : 포트 80. 앞뒤 트래픽이 제대로 수행되면 해당 포트에 대한 트래픽이 나타납니다. 따라서 포트 80에 HTTP 헤더가 있고 페이로드는 이미지에 포함 된 덩어리입니다.

2. 파일을 실행할 특정 위치를 찾는 비 주기적 명령입니다. 작업 공간은 사용자 컴퓨터, 네트워크 컴퓨터, 데이터베이스의 추가 테이블, 임시 스풀 파일 디렉토리에있을 수 있습니다.

3. 하나 이상의 다른 백도어가 여전히 있는지 확인하는 프로그램. 그렇지 않은 경우 변형이 설치되고 세부 정보가 BOFH로 이메일로 전송됩니다.

4. 이제 디스크를 사용하여 백업하는 방식이 많이 수행되었으므로 최소한 루트 키트 중 일부를 포함하도록 백업을 수정하십시오.

이런 종류의 일로부터 자신을 보호하는 방법 :

1. BOFH 직원이 퇴사하면 DMZ에 새 상자를 설치하십시오. 방화벽을 통과하는 모든 트래픽의 복사본을 가져옵니다. 이 트래픽에서 이상을 찾으십시오. 후자는 특히 BOFH가 정상적인 교통 패턴을 모방하는데 능숙하다면 사소하지 않습니다.

2. 중요한 바이너리가 읽기 전용 미디어에 저장되도록 서버를 다시 실행하십시오. 즉, / bin / ps를 수정하려면 시스템으로 이동하여 스위치를 물리적으로 RO에서 RW로 이동하고 단일 사용자를 재부팅하며 파티션 rw를 다시 마운트하고 새 ps 사본을 설치하고 동기화하고 재부팅해야합니다. 토글 스위치. 이러한 방식으로 수행 된 시스템에는 추가 작업을 수행하기위한 적어도 일부 신뢰할 수있는 프로그램과 신뢰할 수있는 커널이 있습니다.

물론 당신이 창문을 사용한다면, 당신은 호스입니다.

3. 인프라를 구획화하십시오. 중소 기업에는 적합하지 않습니다.

이런 종류의 것을 막는 방법.

1. 신청자들을 신중하게 수의사.

2. 이 사람들이 불만을 품고 있는지 확인하고 인사 문제를 미리 해결하십시오.

3. 이러한 종류의 권한으로 관리자를 해산하면 파이가 달콤 해집니다.

   에이. 그의 급여 또는 급여의 일부는 일정 기간 동안 또는 IT 직원이 설명 할 수없는 시스템 동작에 중대한 변화가있을 때까지 계속됩니다. 이것은 기하 급수적으로 붕괴 될 수 있습니다. 예 그는 6 개월, 6 개월이 80 %, 80 %를 전체 임금을 얻는다 그 다음 6 개월 동안.

   비. 그의 임금의 일부는 그가 떠난 후 1 ~ 5 년 동안 적용되지 않는 재고 옵션의 형태입니다. 이 옵션은 그가 떠날 때 제거되지 않습니다. 그는 회사가 5 년 안에 잘 운영 될 수 있도록하는 인센티브를 가지고 있습니다.

관리자가 떠나기 전에도 문제가 있음을 알게되었습니다. 그 당시에는 문제가 더 눈에 띄는 것뿐입니다.

-> 모든 변경 사항을 감사하는 프로세스가 필요하며 프로세스의 일부는 변경 사항 만 적용됩니다.

회사에있는 모든 사람에게 일단 퇴장을 알리십시오. 이것은 사회 공학 공격 벡터를 제거합니다. 회사가 큰 경우 알아야 할 사람들이 알아야합니다.

관리자가 작성된 코드 (기업 웹 사이트 등)에 대한 책임도있는 경우 코드 감사도 수행해야합니다.

모두가 빠진 큰 것이 있습니다.

시스템 만이 아니라는 것을 기억하십시오.

• 공급 업체는 직원이 직원이 아니며 액세스를 허용해서는 안된다는 것을 알고 있습니까 (콜로, 전화)
• 별도의 암호 (exchange, crm)를 가질 수있는 외부 호스팅 서비스가 있습니까?
• 어쨌든 그들은 협박 자료를 가질 수 있습니까?

정말 편집증이 아닌 한, 내 제안은 단순히 외부 세계에 연락하려는 의심스러운 것이 있는지 확인하기 위해 여러 TCP / IP 스캐닝 도구 (tcpview, wireshark 등)를 실행하는 것입니다.

관리자 비밀번호를 변경하고 '추가'관리자 계정이 없어야합니다.

또한 무선 액세스 암호를 변경하고 보안 소프트웨어 설정 (특히 AV 및 방화벽)을 확인해야합니다.

서버 및 서버가 직접 작업하는 컴퓨터의 로그를 확인하십시오. 자신의 계정뿐만 아니라 알려진 관리자가 아닌 계정도 찾으십시오. 통나무에서 구멍을 찾으십시오. 최근 서버에서 이벤트 로그가 지워지면 의심됩니다.

웹 서버의 파일에서 수정 된 날짜를 확인하십시오. 빠른 스크립트를 실행하여 최근에 변경된 모든 파일을 나열하고 검토하십시오.

AD의 모든 그룹 정책 및 사용자 개체에서 마지막 업데이트 날짜를 확인하십시오.

모든 백업이 작동하고 기존 백업이 여전히 존재하는지 확인하십시오.

이전 기록이 누락되도록 볼륨 섀도 복사본 서비스를 실행중인 서버를 확인하십시오.

나는 이미 많은 좋은 것들이 나열되어 있고 빨리 확인할 수있는 다른 것들을 추가하고 싶었습니다. 모든 것을 완전히 검토하는 것이 가치가 있습니다. 그러나 가장 최근에 변경된 부분부터 시작하십시오. 이러한 것들 중 일부는 신속하게 점검 할 수 있으며 도움을주기 위해 초기 적신호를 발생시킬 수 있습니다.

기본적으로, 만약 당신이 유능한 BOFH라면, 당신은 운명에 처할 것입니다 ... 눈에 띄지 않을 폭탄을 설치하는 방법은 많이 있습니다. 그리고 당신의 회사가 해고 된 사람들을“무장 군”으로 배출하는 데 사용된다면, 해고 전에 폭탄이 잘 심어 지도록하십시오!

가장 좋은 방법은 화난 관리자의 위험을 최소화하는 것입니다 ... "비용 절감을위한 해고"피하기 (유능하고 악의적 인 BOFH 인 경우 발생할 수있는 손실은 아마도 얻을 수있는 것보다 훨씬 클 것입니다. 해고) ... 만약 그가 용납 할 수없는 실수를했다면 해고의 대안으로 그것을 고쳐야하는 것이 낫다 ... 그는 다음 번 실수를 반복하지 않기 위해 더 신중할 것이다. 그러나 가치있는 목표에 부딪 치십시오 (좋은 카리스마를 가진 무능한 사람들이 유능하지만 덜 사회적으로 자신의 잘못을 거부하는 것이 일반적입니다).

그리고 최악의 의미에서 진정한 BOFH에 직면하고 있다면 (그리고 그 행동은 해고의 원인입니다), 그가 접촉했던 모든 시스템을 처음부터 다시 설치하는 것이 좋습니다. 모든 단일 컴퓨터).

단일 비트 변경으로 인해 전체 시스템이 혼란에 빠질 수 있습니다 ... (setuid bit, No Carry if Jump to Carry to No Carry ... ...) 컴파일 도구조차도 손상되었을 수 있습니다.

그가 정말로 무엇이든 알고 미리 설정하면 행운을 빕니다. 멍청한 녀석이라도 전화를 끊고 전화를 걸거나 이메일로 보내거나 팩스로 보내거나 낮 동안 회로에서 전체 테스트 패턴을 실행하도록 요청할 수도 있습니다.

출발점에서 약간의 사랑과 웅장한 모습을 보여주는 것은 실제로 위험을 줄입니다.

예, "비밀번호 또는 기타 정보를 얻기 위해"전화를 걸 경우 1099 요금과 통화 시간당 1 시간 100 분의 여행 경비를 어디에나 두어야합니다.

야, 그건 내 짐과 같다! 1,2,3,4!

경계에서 시작하는 것이 좋습니다. 방화벽 구성이 네트워크에 예기치 않은 진입 점이 없는지 확인하십시오. 네트워크에 다시 들어가서 컴퓨터에 액세스 할 수 없도록 네트워크를 물리적으로 보호하십시오.

완전히 작동하고 복원 가능한 백업이 있는지 확인하십시오. 좋은 백업은 그가 파괴적인 일을한다면 데이터를 잃어 버리는 것을 막을 것입니다.

경계를 통해 허용되는 서비스를 확인하고 액세스가 거부되었는지 확인하십시오. 해당 시스템에 제대로 작동하는 로깅 메커니즘이 있는지 확인하십시오.

모든 것을 삭제하고 다시 시작하십시오.)

불 태워라 .. 모두 불 태워라.

이것이 유일한 방법입니다.

그런 다음 모든 외부 관심사, 도메인 등록 기관, 신용 카드 결제 제공 업체를 모두 소각하십시오.

두 번째 생각으로, Bikie 동료에게 당신을 귀찮게하지 않는 것이 더 건강하다는 것을 납득 시키도록 요청하는 것이 더 쉽습니다.

아마도 어딘가에 유능한 관리자가 기본 시스템 구성의 백업이라고하는 것을 만들었을 것입니다. 알려진 안전한 백업을 복원 할 수있는 적당한 수준의 빈도로 백업이 수행되었다고 가정하는 것도 안전합니다.

몇 가지 점을 감안 않는 변경, 당신이 기본 설치가 손상되지 않도록 할 수있을 때까지 가능하면 가상화 백업에서 실행하는 것이 좋습니다.

최악의 상황이 분명하다고 가정하면, 가능한 것을 병합하고 나머지를 직접 입력하십시오.

나는 아무도 전에 안전한 백업을 사용하는 것에 대해 언급 한 사람이 없습니다. 다시 말해 이력서를 HR 부서에 제출해야합니까?

그의 관점을 보도록 노력하십시오.

당신은 당신의 시스템과 그 기능을 알고 있습니다. 그래서 당신은 발명 할 수있는 것을 상상하려고 노력할 수 있습니다. 이 더 이상 시스템 관리자 수없는 경우에도, 외부에서 연결하는 ...

네트워크 인프라의 작동 방식과이 모든 작동 방식에 따라 수행 할 작업과 위치를 알 수있는 최고의 사람입니다.

그러나 실험 된 bofh 에서 말하는 것처럼 어디에서나 검색해야합니다 ...

네트워크 추적

주요 목표는 인터넷 연결을 통해 시스템 을 원격으로 제어하는 것이므로 방화벽을보고 (이것도 손상 될 수 있기 때문에 교체 할 수 있습니다 !!) 각 활성 연결 을 식별하려고 시도 할 수 있습니다.

방화벽을 교체한다고해서 완전한 보호가 보장되지는 않지만 숨겨져있는 것은 없어야합니다. 따라서 방화벽이 전달한 패킷을 감시하면 원하지 않는 트래픽을 포함하여 모든 것이 표시 되어야합니다 .

tcpdumpUS 편집증처럼 모든 것을 추적하는 데 사용할 수 있으며 고급 도구와 같은 덤프 파일을 찾아 볼 수 있습니다 wireshark. 이 명령이 무엇인지 확인하려면 몇 시간이 걸립니다 (디스크의 100Gb 여유 공간 필요).

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

모든 것을 신뢰하지 마십시오

당신이 무언가를 발견하더라도, 당신은 당신이 완전히 나쁜 것들을 발견했다고 확신하지 못할 것입니다!

마지막으로, 신뢰할 수있는 출처에서 모든 것을 다시 설치하기 전에는 조용히하지 마십시오 .

서버를 다시 실행할 수 없으면 다음으로 가장 좋은 방법은 방화벽을 최대한 많이 잠그는 것입니다. 가능한 모든 단일 인바운드 연결을 따르고 절대 최소값으로 줄이십시오.

모든 비밀번호를 변경하십시오.

모든 ssh 키를 교체하십시오.

일반적으로 매우 어렵습니다 ...

그러나 웹 사이트 인 경우 로그인 버튼 바로 뒤에있는 코드를 살펴보십시오.

"if username = 'admin'"유형 인 것을 한 번 발견했습니다 ...

본질적으로, 이전 IT 직원에 대한 지식을 무가치하게 만드십시오.

IT 인프라에 영향을주지 않고 변경할 수있는 모든 것을 변경하십시오.

공급 업체를 변경하거나 다양 화하는 것도 좋은 방법입니다.