आप पिछले आईटी व्यक्ति से बैकसाइड की खोज कैसे करते हैं?

हम सभी जानते हैं कि ऐसा होता है। एक कड़वा पुराना आईटी लड़का नए लोगों के साथ मस्ती करने के लिए सिस्टम और नेटवर्क में एक पिछले दरवाजे को छोड़ देता है और कंपनी को दिखाता है कि उसके बिना कितनी बुरी चीजें हैं।

मैंने व्यक्तिगत रूप से कभी इसका अनुभव नहीं किया है। सबसे अधिक मैंने अनुभव किया है कि कोई ऐसा व्यक्ति है जिसने जाने से पहले सामान तोड़ा और चुराया था। मुझे यकीन है कि ऐसा होता है, हालांकि।

इसलिए, जब ऐसा नेटवर्क लेना जो बहुत भरोसेमंद नहीं हो सकता, तो यह सुनिश्चित करने के लिए क्या कदम उठाए जाने चाहिए कि सब कुछ सुरक्षित और सुरक्षित है?

यह वास्तव में है, वास्तव में, वास्तव में कठिन है। इसके लिए पूरी तरह से ऑडिट की जरूरत है। यदि आप बहुत आश्वस्त हैं कि बूढ़े व्यक्ति ने कुछ पीछे छोड़ दिया है, तो वह तेजी से आगे बढ़ेगा, या फिर से किराए पर लेने की आवश्यकता होगी, क्योंकि वे केवल एक हैं जो आग लगा सकते हैं, तो यह मानने का समय है कि आप एक निश्चित रूप से निहित हैं। शत्रुतापूर्ण पक्ष। हैकरों के एक समूह की तरह व्यवहार करें और सामान चुरा लें, और आपको उनकी गंदगी के बाद साफ करना होगा। क्योंकि जो है, वही है।

• यह सुनिश्चित करने के लिए प्रत्येक प्रणाली पर प्रत्येक खाते का ऑडिट करें कि वह किसी विशिष्ट इकाई से संबद्ध है।
  • वे खाते जो सिस्टम से जुड़े हुए हैं, लेकिन कोई भी खाते में अविश्वास नहीं कर सकता है।
  • ऐसे खाते जो किसी भी चीज़ से संबद्ध नहीं हैं, उन्हें शुद्ध करने की आवश्यकता है (इसे वैसे भी करने की आवश्यकता है, लेकिन यह इस मामले में विशेष रूप से महत्वपूर्ण है)
• किसी भी और सभी पासवर्ड को बदल दें, जो संभवतः वे संपर्क में आ सकते हैं।
  • यह उपयोगिता खातों के लिए एक वास्तविक समस्या हो सकती है क्योंकि वे पासवर्ड चीजों में हार्ड-कोडित हो जाते हैं।
  • यदि वे एंड-यूज़र कॉल का जवाब देने में हेल्पडेस्क टाइप थे, तो मान लें कि उनके पास किसी की सहायता का पासवर्ड है।
  • यदि उनके पास एंटरप्राइज़ व्यवस्थापक या सक्रिय निर्देशिका के लिए डोमेन व्यवस्थापक है, तो मान लें कि वे जाने से पहले पासवर्ड हैश की एक प्रति ले लेते हैं। इन्हें अब इतनी तेजी से क्रैक किया जा सकता है कि एक कंपनी-व्यापी पासवर्ड परिवर्तन को दिनों के भीतर मजबूर होने की आवश्यकता होगी।
  • यदि उनके पास किसी भी * निक्स बॉक्स तक रूट एक्सेस है, तो वे पासवर्ड हैश के साथ चले गए।
  • सभी सार्वजनिक कुंजी SSH कुंजी उपयोगों की समीक्षा करें ताकि यह सुनिश्चित हो सके कि आपके पास होने के दौरान कोई भी निजी कुंजी उजागर नहीं हुई है या नहीं।
  • यदि उनके पास किसी भी टेलिकॉम गियर तक पहुंच थी, तो किसी भी राउटर / स्विच / गेटवे / PBX पासवर्ड को बदलें। यह वास्तव में शाही दर्द हो सकता है क्योंकि इसमें महत्वपूर्ण परिणाम शामिल हो सकते हैं।
• अपनी परिधि सुरक्षा व्यवस्था का पूरी तरह से ऑडिट करें।
  • ज्ञात अधिकृत उपकरणों और बंदरगाहों पर सभी फ़ायरवॉल छेद ट्रेस सुनिश्चित करें।
  • सभी दूरस्थ पहुंच विधियों (वीपीएन, एसएसएच, ब्लैकबेरी, एक्टिवस्किन, सिट्रिक्स, एसएमटीपी, आईएमएपी, वेबमेल, जो भी हो) सुनिश्चित करें कि कोई अतिरिक्त प्रमाणीकरण न हो, और पूरी तरह से अनधिकृत पहुंच विधियों के लिए उन्हें वीटी।
  • पूरी तरह से नियोजित लोगों के लिए दूरस्थ WAN लिंक ट्रेस सुनिश्चित करें, और इसे सत्यापित करें। विशेष रूप से वायरलेस कनेक्शन। आप उन्हें सेल-मॉडेम या स्मार्ट-फोन भुगतान वाली कंपनी के साथ नहीं चलना चाहते। ऐसे सभी उपयोगकर्ताओं से संपर्क करें ताकि यह सुनिश्चित हो सके कि उनके पास सही उपकरण है।
• पूरी तरह से आंतरिक विशेषाधिकार प्राप्त-पहुँच व्यवस्था का ऑडिट करें। ये एसएसएच / वीएनसी / आरडीपी / डीआरएसी / आईएलओ / आईएमपीआई जैसी चीजें हैं जो सामान्य उपयोगकर्ताओं के पास नहीं हैं, या पेरोल जैसे संवेदनशील सिस्टम तक कोई पहुंच नहीं है।
• संपर्क सुनिश्चित करने के लिए सभी बाहरी विक्रेताओं और सेवा प्रदाताओं के साथ काम करना सही है।
  • सुनिश्चित करें कि वे सभी संपर्क और सेवा सूचियों से समाप्त हो गए हैं। यह किसी भी प्रस्थान के बाद वैसे भी किया जाना चाहिए, लेकिन अब अतिरिक्त महत्वपूर्ण है।
  • सभी संपर्क वैध हैं और सही संपर्क जानकारी है, यह उन भूतों को ढूंढना है जिन्हें प्रतिरूपण किया जा सकता है।
• लॉजिक बम का शिकार करना शुरू करें।
  • बुराई के संकेतों के लिए सभी स्वचालन (कार्य शेड्यूलर, क्रॉन जॉब्स, यूपीएस कॉल-आउट सूचियां, या एक अनुसूची पर चलने वाली या घटना-ट्रिगर) की जाँच करें। "ऑल" से मेरा मतलब है सब। हर एक क्रेस्टब को चेक करें। अपने निगरानी प्रणाली में हर एक स्वचालित कार्रवाई की जांच करें, जिसमें स्वयं जांच शामिल है। हर एक विंडोज टास्क शेड्यूलर की जाँच करें; यहां तक ​​कि वर्कस्टेशन। जब तक आप अत्यधिक संवेदनशील क्षेत्र में सरकार के लिए काम नहीं करते हैं, तब तक आप "सब" बर्दाश्त नहीं कर पाएंगे, जितना आप कर सकते हैं।
  • वे क्या होना चाहिए यह सुनिश्चित करने के लिए हर सर्वर पर प्रमुख सिस्टम बायनेरिज़ को मान्य करें। यह मुश्किल है, विशेष रूप से विंडोज पर, और लगभग एक-सिस्टम पर रेट्रोएक्टिक रूप से करना असंभव है।
  • रूटकिट्स के लिए शिकार करना शुरू करें। परिभाषा के अनुसार वे खोजने में कठिन हैं, लेकिन इसके लिए स्कैनर हैं।

कम से कम में आसान नहीं है, दूर से भी करीब नहीं है। उस सभी के खर्च को सही ठहराना वास्तव में निश्चित प्रमाण के बिना कठिन हो सकता है कि अब पूर्व प्रशासन वास्तव में बुराई था। उपरोक्त की संपूर्णता कंपनी की संपत्तियों के साथ भी उल्लेखनीय नहीं है, जो इस काम को करने के लिए सुरक्षा सलाहकारों को काम पर रखने की आवश्यकता होगी।

यदि वास्तविक बुराई का पता लगाया जाता है, खासकर अगर बुराई किसी प्रकार के सॉफ़्टवेयर में है, तो समस्या की चौड़ाई को निर्धारित करने के लिए प्रशिक्षित सुरक्षा पेशेवर सबसे अच्छे हैं। यह वह बिंदु भी है जब एक आपराधिक मामला बनना शुरू हो सकता है, और आप वास्तव में ऐसे लोगों को चाहते हैं जो इस विश्लेषण को करने के लिए साक्ष्य को संभालने में प्रशिक्षित हैं।

लेकिन, वास्तव में, आपको कितनी दूर जाना है? यह वह जगह है जहाँ जोखिम प्रबंधन खेल में आता है। सरल रूप से, यह नुकसान के खिलाफ अपेक्षित जोखिम को संतुलित करने की विधि है। Sysadmins इस करते हैं जब हम तय जो ऑफ-साइट स्थान हम बैकअप रखना चाहते हैं; बैंक सुरक्षा जमा बॉक्स बनाम एक आउट-ऑफ-द-एरिया डेटासेंटर। यह पता लगाना कि जोखिम-प्रबंधन में इस सूची की कितनी जरूरत है।

इस मामले में मूल्यांकन कुछ चीजों के साथ शुरू होगा:

• दिवंगत का अपेक्षित कौशल स्तर
• दिवंगत की पहुंच
• बुराई की उम्मीद की गई थी
• किसी भी बुराई का संभावित नुकसान
• पूर्वगामी बुराई बनाम बुराई की रिपोर्टिंग के लिए विनियामक आवश्यकताएं। आम तौर पर आपको पूर्व को रिपोर्ट करना होगा, लेकिन बाद में नहीं।

उपरोक्त खरगोश-छेद को गोता लगाने के लिए कितना नीचे का निर्णय इन सवालों के जवाब पर निर्भर करेगा। रूटीन एडमिन डिपार्चर के लिए जहां बुराई की उम्मीद बहुत मामूली है, पूर्ण सर्कस की आवश्यकता नहीं है; बदलते व्यवस्थापक-स्तर के पासवर्ड और किसी भी बाहरी-सामना करने वाले SSH होस्ट को फिर से कुंजी देना संभवतः पर्याप्त है। फिर से, कॉर्पोरेट जोखिम-प्रबंधन सुरक्षा मुद्रा इसे निर्धारित करती है।

प्रवेश के लिए जिन्हें कारण के लिए समाप्त कर दिया गया था, या उनके अन्यथा सामान्य प्रस्थान के बाद बुराई काटा गया, सर्कस की अधिक आवश्यकता है। सबसे खराब स्थिति एक पागल बीओएफएच-प्रकार है जिसे सूचित किया गया है कि उनकी स्थिति 2 सप्ताह में बेमानी हो जाएगी, क्योंकि इससे उन्हें तैयार होने में बहुत समय लगता है; इन परिस्थितियों में एक उदार विच्छेद पैकेज के काइल के विचार जैसी समस्याएं सभी प्रकार की समस्याओं को कम कर सकती हैं। 4 महीने के वेतन के चेक के आने के बाद भी पैरानॉयड बहुत सारे पापों को माफ कर सकता है। यह जाँच शायद उनकी बुराई को दूर करने के लिए आवश्यक सुरक्षा सलाहकारों की लागत से कम होगी।

लेकिन अंत में, यह निर्धारित करने की लागत के लिए नीचे आता है कि क्या बुराई बनाम किसी भी बुराई की संभावित लागत वास्तव में की जा रही थी।

मैं कहूंगा कि यह इस बात का संतुलन है कि आपको कितनी चिंता है जो आप भुगतान करने को तैयार हैं।

बहुत चिंतित:
यदि आप बहुत चिंतित हैं तो आप बाहर और आंतरिक दोनों ही दृष्टिकोण से हर चीज की पूरी स्कैन करने के लिए एक बाहरी सुरक्षा सलाहकार को नियुक्त कर सकते हैं। यदि यह व्यक्ति विशेष रूप से चतुर था, तो आप परेशानी में पड़ सकते हैं, उनके पास कुछ ऐसा हो सकता है जो थोड़ी देर के लिए निष्क्रिय हो जाएगा। अन्य विकल्प बस सब कुछ पुनर्निर्माण करना है। यह बहुत अधिक लग सकता है लेकिन आप पर्यावरण को अच्छी तरह से सीखेंगे और आप एक आपदा वसूली परियोजना भी बना सकते हैं।

सौम्य रूप से चिंतित:
यदि आप केवल हल्के ढंग से चिंतित हैं तो आप बस ऐसा करना चाहते हैं:

• एक पोर्ट बाहर से स्कैन करता है।
• वायरस / स्पाइवेयर स्कैन। लिनक्स मशीनों के लिए रूटकिट स्कैन।
• आप जो कुछ भी नहीं समझते हैं, उसके लिए फ़ायरवॉल कॉन्फ़िगरेशन देखें।
• सभी पासवर्ड बदलें और किसी भी अज्ञात खातों की तलाश करें (सुनिश्चित करें कि उन्होंने किसी ऐसे व्यक्ति को सक्रिय नहीं किया है जो अब कंपनी के साथ नहीं है ताकि वे उस का उपयोग कर सकें)।
• घुसपैठ का पता लगाने की प्रणाली (आईडीएस) को देखने के लिए यह एक अच्छा समय हो सकता है।
• सामान्य रूप से आपके द्वारा लॉग को अधिक बारीकी से देखें।

फॉर द फ्यूचर:
आगे जाकर जब कोई एडमिन उसे एक अच्छी पार्टी देता है और फिर जब वह नशे में रहता है तो उसे एक सवारी घर की पेशकश करता है - फिर उसे पास की नदी, मार्श, या झील में डिस्पोज कर देता है। अधिक गंभीरता से, यह एक अच्छा कारण है कि एडिंस को उदारतापूर्ण वेतन दिया जाए। आप उन्हें जितना संभव हो उतना छोड़ने के बारे में ठीक महसूस करना चाहते हैं। भले ही वे अच्छा महसूस न करें, कौन परवाह करता है ?, इसे चूसो और उन्हें खुश करो। बहाना यह आपकी गलती है और उनका नहीं। बेरोजगारी बीमा के लिए लागत में वृद्धि और विच्छेद पैकेज की क्षति की तुलना वे नहीं कर सकते जो वे कर सकते थे। यह सब कम से कम प्रतिरोध और संभव के रूप में कम नाटक बनाने के मार्ग के बारे में है।

Teamviewer, LogmeIn, आदि की पसंद मत भूलना ... मुझे पता है कि यह पहले से ही उल्लेख किया गया था, लेकिन हर सर्वर / वर्कस्टेशन के एक सॉफ्टवेयर ऑडिट (कई ऐप्स) को चोट लगी होगी, जिसमें नैमपेट के साथ सबनेट (एस) स्कैन शामिल हैं एनएसई स्क्रिप्ट।

पहली चीजें पहले - ऑफ-साइट स्टोरेज (जैसे टेप, या एचडीडी जिसे आप डिस्कनेक्ट करते हैं और स्टोरेज में डालते हैं) पर हर चीज का बैकअप मिलता है। इस तरह, अगर कुछ दुर्भावनापूर्ण कार्रवाई होती है, तो आप थोड़ा ठीक करने में सक्षम हो सकते हैं।

अगला, अपने फ़ायरवॉल नियमों के माध्यम से कंघी करें। किसी भी संदिग्ध खुले बंदरगाहों को बंद किया जाना चाहिए। यदि कोई पिछला दरवाजा है तो उस तक पहुंच को रोकना अच्छी बात होगी।

उपयोगकर्ता खाते - अपने असंतुष्ट उपयोगकर्ता की तलाश करें और यह सुनिश्चित करें कि उनकी पहुंच जल्द से जल्द हटा दी जाए। यदि SSH कुंजियाँ हैं, या / etc / passwd फ़ाइलें, या LDAP प्रविष्टियाँ, यहाँ तक कि .htaccess फ़ाइलें हैं, तो सभी स्कैन होनी चाहिए।

आपके महत्वपूर्ण सर्वर एप्लिकेशन और सक्रिय श्रवण पोर्ट की तलाश करते हैं। सुनिश्चित करें कि उनके साथ जुड़ी प्रक्रियाएं समझदार दिखाई दें।

अंततः एक निर्धारित असंतुष्ट कर्मचारी कुछ भी कर सकता है - आखिरकार, उन्हें सभी आंतरिक प्रणालियों का ज्ञान है। एक उम्मीद करता है कि उनके पास नकारात्मक कार्रवाई न करने की अखंडता है।

एक अच्छी तरह से चलाने के लिए बुनियादी ढांचे के उपकरण, निगरानी और नियंत्रण के लिए जा रहे हैं ताकि बड़े पैमाने पर इसे रोका जा सके। इसमें शामिल है:

• उचित नेटवर्क विभाजन और फ़ायरवॉलिंग
• होस्ट आधारित IDS
• नेटवर्क आधारित IDS
• सेंट्रल लॉगिंग
• पहुँच नियंत्रण
• परिवर्तन नियंत्रण

यदि ये उपकरण ठीक से काम कर रहे हैं, तो आपके पास एक ऑडिट ट्रेल होगा। अन्यथा, आपको पूर्ण प्रवेश परीक्षा देनी होगी ।

पहला कदम सभी एक्सेस का ऑडिट करना और सभी पासवर्ड बदलना होगा। बाहरी पहुंच और संभावित प्रवेश बिंदुओं पर ध्यान केंद्रित करें - यह वह जगह है जहाँ आपका समय सबसे अच्छा व्यतीत होता है। यदि बाहरी पदचिह्न उचित नहीं है, तो इसे समाप्त करें या इसे सिकोड़ें। यह आपको आंतरिक रूप से अधिक विवरण पर ध्यान केंद्रित करने का समय देगा। सभी आउटबाउंड ट्रैफ़िक से अवगत रहें, साथ ही प्रोग्रामेटिक समाधान बाहरी रूप से प्रतिबंधित डेटा को स्थानांतरित कर सकते हैं।

अंत में, एक सिस्टम और नेटवर्क प्रशासक होने के नाते सभी चीजों को पूरा करने की अनुमति होगी यदि सभी चीजें नहीं। इसके साथ, उच्च स्तर की जिम्मेदारी आती है। इस स्तर की जिम्मेदारी के साथ काम को हल्के में नहीं लिया जाना चाहिए और शुरू से जोखिम को कम करने के लिए कदम उठाए जाने चाहिए। यदि किसी पेशेवर को काम पर रखा जाता है, यहां तक ​​कि बुरी शर्तों पर छोड़ दिया जाता है, तो वे ऐसी कार्रवाई नहीं करेंगे जो गैर-लाभकारी या गैरकानूनी होंगी।

सर्वर फाल्ट पर कई विस्तृत पोस्ट हैं जो सुरक्षा के लिए उचित सिस्टम ऑडिटिंग को कवर करते हैं और साथ ही किसी की समाप्ति के मामले में क्या करना है। यह स्थिति उन लोगों से अनोखी नहीं है।

एक चतुर BOFH निम्नलिखित में से कोई भी कर सकता है:

1. आवधिक कार्यक्रम जो कमांड लेने के लिए एक प्रसिद्ध बंदरगाह पर एक नेटकाक आउटबाउंड कनेक्शन शुरू करता है। ईजी पोर्ट 80. यदि अच्छी तरह से आगे और पीछे का ट्रैफ़िक होता तो उस पोर्ट के लिए ट्रैफ़िक का आभास होता। इसलिए यदि पोर्ट 80 पर, यह HTTP हेडर है, और पेलोड छवियों में एम्बेडेड विखंडू होगा।

2. एपेरियोडिक कमांड जो फ़ाइलों को निष्पादित करने के लिए विशिष्ट स्थानों में दिखता है। स्थान उपयोगकर्ता कंप्यूटर, नेटवर्क कंप्यूटर, डेटाबेस में अतिरिक्त तालिकाओं, अस्थायी स्पूल फ़ाइल निर्देशिकाओं पर हो सकते हैं।

3. प्रोग्राम जो यह देखने के लिए जांचते हैं कि क्या एक या एक से अधिक बैकडोर अभी भी हैं। यदि यह नहीं है, तो उस पर एक संस्करण स्थापित है, और बीओएफएच को ईमेल का विवरण

4. चूंकि बैकअप के तरीके में बहुत कुछ अब डिस्क के साथ किया जाता है, इसलिए अपने कम से कम रूट किट में से कुछ को बैकअप के लिए संशोधित करें।

इस तरह से खुद को बचाने के तरीके:

1. जब एक BOFH वर्ग कर्मचारी निकलता है, तो DMZ में एक नया बॉक्स स्थापित करें। यह फ़ायरवॉल से गुजरने वाले सभी ट्रैफ़िक की एक प्रति प्राप्त करता है। इस ट्रैफ़िक में विसंगतियाँ देखें। उत्तरार्द्ध गैर-तुच्छ है, खासकर अगर बीओएफएच सामान्य यातायात पैटर्न की नकल करने में अच्छा है।

2. अपने सर्वर को फिर से करें ताकि महत्वपूर्ण बायनेरिज़ केवल-पढ़ने के लिए मीडिया पर संग्रहीत हों। यही है, यदि आप / बिन / पीएस को संशोधित करना चाहते हैं, तो आपको मशीन पर जाना होगा, शारीरिक रूप से आरओ से आरडब्ल्यू पर एक स्विच स्थानांतरित करना होगा, एकल उपयोगकर्ता को रिबूट करें, उस विभाजन आरडब्ल्यू को रीमाउंट करें, पीएस की अपनी नई कॉपी, सिंक, रिबूट को स्थापित करें, टॉगल स्विच। इस तरह से की गई प्रणाली में कम से कम कुछ विश्वसनीय कार्यक्रम और आगे काम करने के लिए एक विश्वसनीय कर्नेल है।

बेशक, यदि आप विंडोज़ का उपयोग कर रहे हैं, तो आप hosed हैं।

3. अपने इन्फ्रा-स्ट्रक्चर को कम्पार्टमेंटलाइज़ करें। छोटे से मध्यम आकार की फर्मों के लिए उचित नहीं है।

इस तरह की चीज को रोकने के तरीके।

1. Vet आवेदकों को ध्यान से।

2. पता करें कि क्या ये लोग असंतुष्ट हैं और समय से पहले कर्मियों की समस्याओं को ठीक करते हैं।

3. जब आप इन प्रकार की शक्तियों से किसी व्यवस्थापक को बर्खास्त करते हैं, तो पाई को मीठा करें:

   ए। उनका वेतन या उनके वेतन का एक अंश कुछ समय के लिए जारी रहता है या जब तक कि आईटी कर्मचारियों द्वारा अस्पष्टीकृत प्रणाली व्यवहार में एक बड़ा बदलाव नहीं होता है। यह एक क्षय क्षय पर हो सकता है। उदाहरण के लिए वह 6 महीने, 6 महीने के लिए है कि के 80%, के 80 प्रतिशत के लिए पूर्ण वेतन हो जाता है कि अगले 6 महीनों के लिए।

   ख। उनके वेतन का एक हिस्सा स्टॉक विकल्पों के रूप में है जो उनके जाने के बाद एक से पांच साल तक प्रभावी नहीं होते हैं। जब वह निकलता है तो इन विकल्पों को नहीं हटाया जाता है। उसके पास यह सुनिश्चित करने के लिए एक प्रोत्साहन है कि कंपनी 5 वर्षों में अच्छी तरह से चल रही होगी।

यह मुझे बताता है कि समस्या एडमिन के निकलने से पहले ही मौजूद है। यह सिर्फ इतना है कि एक समस्या को उस समय अधिक नोटिस करता है।

-> प्रत्येक परिवर्तन की ऑडिट करने के लिए एक प्रक्रिया की आवश्यकता होती है, और प्रक्रिया का हिस्सा यह है कि परिवर्तन केवल इसके माध्यम से लागू होते हैं।

एक बार छोड़ देने के बाद कंपनी में सभी को बताना सुनिश्चित करें। यह सोशल इंजीनियरिंग अटैक वेक्टर को खत्म कर देगा। यदि कंपनी बड़ी है, तो सुनिश्चित करें कि जिन लोगों को जानने की जरूरत है, वे जानें।

यदि व्यवस्थापक कोड लिखे (कॉर्पोरेट वेबसाइट आदि) के लिए भी जिम्मेदार था, तो आपको एक कोड ऑडिट भी करना होगा।

वहाँ एक बड़ा है कि हर कोई बाहर छोड़ दिया है।

याद रखें कि सिर्फ सिस्टम नहीं हैं।

• क्या विक्रेताओं को पता है कि व्यक्ति कर्मचारियों पर नहीं है, और उसे एक्सेस (कोलो, टेल्को) की अनुमति नहीं दी जानी चाहिए
• क्या कोई बाहरी होस्टेड सेवाएँ हैं जिनके पास अलग-अलग पासवर्ड हो सकते हैं (विनिमय, crm)
• वे वैसे भी ब्लैकमेल सामग्री हो सकता है (ठीक है यह थोड़ा तक पहुँचने के लिए शुरू होता है ...)

जब तक आप वास्तव में वास्तव में पागल नहीं होते हैं, तब तक मेरा सुझाव बस कई टीसीपी / आईपी स्कैनिंग टूल (टीसीपीव्यू, वायरशर्क आदि) चल रहा होगा, यह देखने के लिए कि क्या बाहरी दुनिया से संपर्क करने के लिए कुछ भी संदिग्ध है।

व्यवस्थापक पासवर्ड बदलें और सुनिश्चित करें कि कोई 'अतिरिक्त' व्यवस्थापक खाते नहीं हैं जो वहां होने की आवश्यकता नहीं है।

इसके अलावा, वायरलेस एक्सेस पासवर्ड बदलने और अपनी सुरक्षा सॉफ़्टवेयर सेटिंग्स (विशेष रूप से एवी और फ़ायरवॉल) पर जांच करने के लिए मत भूलना

अपने सर्वर पर लॉग की जाँच करें (और कंप्यूटर वे सीधे काम करते हैं)। न केवल उनके खाते के लिए, बल्कि उन खातों को भी देखें जो ज्ञात प्रशासक नहीं हैं। अपने लॉग में छेद देखें। यदि हाल ही में एक सर्वर पर एक ईवेंट लॉग साफ़ किया गया था, तो यह संदेहास्पद है।

अपने वेब सर्वर पर फाइलों पर संशोधित तिथि की जाँच करें। सभी हाल ही में बदली गई फ़ाइलों को सूचीबद्ध करने और उनकी समीक्षा करने के लिए एक त्वरित स्क्रिप्ट चलाएँ।

AD में अपनी सभी समूह नीति और उपयोगकर्ता ऑब्जेक्ट पर अंतिम अद्यतन तिथि की जाँच करें।

सत्यापित करें कि आपके सभी बैकअप काम कर रहे हैं और मौजूदा बैकअप अभी भी मौजूद हैं।

उन सर्वरों की जाँच करें जहाँ आप पिछले इतिहास के लिए वॉल्यूम शैडो कॉपी सेवाओं को गायब कर रहे हैं।

मैं पहले से ही बहुत सारी अच्छी चीजों को सूचीबद्ध करता हूं और बस इन अन्य चीजों को जोड़ना चाहता हूं जिन्हें आप जल्दी से देख सकते हैं। यह सब कुछ की पूरी समीक्षा करने के लिए इसके लायक होगा। लेकिन सबसे हाल के परिवर्तनों के साथ स्थानों से शुरू करें। इनमें से कुछ चीजों को जल्दी से जांचा जा सकता है और आपकी मदद करने के लिए कुछ शुरुआती लाल झंडे उठा सकते हैं।

असल में, मैं कहूंगा कि यदि आप एक सक्षम BOFH हैं, तो आप बर्बाद हैं ... बम स्थापित करने के बहुत सारे तरीके हैं जो किसी का ध्यान नहीं होगा। और अगर आपकी कंपनी "मनु-मिलिट्री" को खारिज करने के लिए उपयोग की जाती है, तो जिन लोगों को निकाल दिया जाता है, सुनिश्चित करें कि बम को अच्छी तरह से छंटनी के साथ लगाया जाएगा !!!

सबसे अच्छा तरीका है कि एक गुस्से वाले व्यवस्थापक होने के जोखिमों को कम से कम करें ... "लागत में कटौती के लिए छंटनी" से बचें (यदि वह एक सक्षम और शातिर BOFH है, तो आप जो नुकसान उठा सकते हैं वह संभवतः आपके द्वारा प्राप्त किए जाने वाले तरीके से बड़ा होगा। छंटनी) ... अगर उसने कुछ अस्वीकार्य गलती की है, तो उसे छंटनी के विकल्प के रूप में उसे (अवैतनिक) ठीक करना बेहतर होगा ... वह अगली बार गलती को न दोहराने के लिए और अधिक विवेकशील होगा (जो कि वृद्धि होगी उनके मूल्य में) ... लेकिन अच्छे लक्ष्य को हिट करना सुनिश्चित करें (यह सामान्य है कि अच्छे करिश्मा वाले अक्षम लोग सक्षम लेकिन कम सामाजिक वाले के लिए अपनी गलती को अस्वीकार करते हैं)।

और अगर आप सबसे खराब अर्थों में एक सच्चे BOFH का सामना कर रहे हैं (और वह व्यवहार छंटनी का कारण है), तो आप बेहतर होगा कि वह उस सभी सिस्टम को खरोंच से फिर से स्थापित करने के लिए तैयार हो, जिसके साथ वह संपर्क में है (जिसका अर्थ शायद होगा हर एक कंप्यूटर)।

यह मत भूलो कि एक एकल परिवर्तन पूरे सिस्टम को कहर बना सकता है ... (सेट्यूड बिट, जंप कैरी टू जंप नो कैरी, ...) और यहां तक ​​कि संकलन टूल से भी समझौता किया जा सकता था।

सौभाग्य अगर वह वास्तव में कुछ भी जानता है और अग्रिम में कुछ भी सेट करता है। यहां तक ​​कि एक डिंपिट डिस्कनेक्ट के साथ टेल्को को कॉल / ईमेल / फैक्स कर सकता है या यहां तक ​​कि उन्हें दिन के दौरान सर्किट पर पूर्ण परीक्षण पैटर्न चलाने के लिए कह सकता है।

गंभीरता से, थोड़ा प्यार और प्रस्थान पर कुछ भव्य दिखाना वास्तव में जोखिम को कम करता है।

ओह, हाँ, अगर वे "एक पासवर्ड या कुछ पाने के लिए कॉल करते हैं" तो उन्हें 1099 की दर और 1 घंटे की न्यूनतम राशि और प्रति कॉल पर 100 यात्रा खर्चों की याद दिलाएं, भले ही आप कहीं भी हों ...

अरे, यह तो मेरा सामान जैसा है! 1,2,3,4!

मेरा सुझाव है कि आप परिधि में शुरू करते हैं। अपने फ़ायरवॉल कॉन्फ़िगरेशन को सत्यापित करें सुनिश्चित करें कि आपके पास नेटवर्क में गैर-अपेक्षित प्रविष्टि बिंदु नहीं हैं। सुनिश्चित करें कि नेटवर्क शारीरिक रूप से उसके खिलाफ फिर से प्रवेश कर रहा है और किसी भी कंप्यूटर तक पहुंच प्राप्त कर रहा है।

सत्यापित करें कि आपके पास पूरी तरह से काम करने और बैकअप करने योग्य बैकअप हैं। अच्छा बैकअप आपको डेटा खोने से रखेगा अगर वह कुछ विनाशकारी करता है।

परिधि के माध्यम से अनुमति दी गई किसी भी सेवा की जाँच करना और सुनिश्चित करें कि उसे पहुँच से वंचित कर दिया गया है। सुनिश्चित करें कि उन प्रणालियों में जगह में लॉगिंग तंत्र अच्छे हैं।

सब कुछ हटाएं, फिर से शुरू करें;)

उसे जला दो .... सब जला दो।

यह सुनिश्चित करने का एकमात्र तरीका है।

फिर, अपने सभी बाहरी हितों, डोमेन रजिस्ट्रार, क्रेडिट कार्ड भुगतान प्रदाताओं को बहुत जलाएं।

दूसरे विचार पर, किसी व्यक्ति को समझाने के लिए शायद किसी भी बीकी साथी से पूछना आसान है कि यह आपके लिए स्वास्थ्यप्रद है कि आपको परेशान न करे।

संभवतः, एक सक्षम प्रशासक कहीं न कहीं उस तरीके से बना है जिसे आधार प्रणाली विन्यास का एक बैकअप कहा जाता है। यह मान लेना भी सुरक्षित होगा कि बैकअप के कुछ उचित स्तर के साथ बैकअप किया जाता है जिससे किसी ज्ञात सुरक्षित बैकअप को बहाल किया जा सके।

यह देखते हुए कि कुछ चीजें हैं बदलने के लिए, यह अपने बैकअप यदि संभव हो तो वर्चुलाइज़ से चलाने के लिए जब तक आप सुनिश्चित कर सकते हैं प्राथमिक स्थापना समझौता नहीं है एक अच्छा विचार है।

यह मानते हुए कि सबसे बुरा स्पष्ट हो जाता है, आप जो भी करने में सक्षम हैं, उसे मिला देते हैं और शेष को हाथ से इनपुट करते हैं।

मैं हैरान हूं कि किसी ने अपने आप से पहले, एक सुरक्षित बैकअप का उपयोग करने का उल्लेख नहीं किया है। क्या इसका मतलब है कि मुझे अपने एचआर विभागों में अपना फिर से शुरू करना चाहिए?

उसकी बातों को लेने की कोशिश करें।

आप अपने सिस्टम को जानते हैं और यह क्या करते हैं। तो आपकी कल्पना करने की कोशिश कर सकते हैं कि बाहर से कनेक्ट करने के लिए क्या आविष्कार किया जा सकता है , यहां तक ​​कि जब आप अब सिसडमिन नहीं हो सकते ...

नेटवर्क इन्फ्रास्ट्रक्चर कैसे हैं और यह सब कैसे काम करते हैं, इसके आधार पर, आप सबसे अच्छे व्यक्ति हैं जो यह जान सकते हैं कि क्या करना है और यह कहाँ स्थित हो सकता है।

लेकिन जैसा कि आप एक प्रयोग किए गए बोफ़ से बोल रहे हैं , आपको हर जगह पास खोजना होगा ...

नेटवर्क ट्रैकिंग

जैसा कि मुख्य लक्ष्य आपके सिस्टम का रिमोट कंट्रोल लेना है, अपने इंटरनेट कनेक्शन के पार, आप देख सकते हैं (यहां तक ​​कि बदल सकते हैं क्योंकि यह दूषित हो सकता है -) फ़ायरवॉल और प्रत्येक सक्रिय कनेक्शन की पहचान करने का प्रयास करें ।

फ़ायरवॉल का प्रतिस्थापन एक पूर्ण सुरक्षा का आश्वासन नहीं देगा, लेकिन यह सुनिश्चित करेगा कि कुछ भी छिपा न रहे। इसलिए यदि आप फ़ायरवॉल द्वारा अग्रेषित पैकेट को देखते हैं , तो आपको अवांछित ट्रैफ़िक सहित सब कुछ देखना होगा ।

आप tcpdumpसब कुछ ट्रैक करने के लिए उपयोग कर सकते हैं (जैसे यूएस पैरानॉयड करता है;) और जैसे उन्नत टूल के साथ डंप फ़ाइल ब्राउज़ करें wireshark। इस कमांड को देखने के लिए कुछ समय लें (डिस्क पर 100 जीबी फ्री स्पेस की जरूरत है):

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

हर चीज पर भरोसा मत करो

यहां तक ​​कि अगर आप कुछ पाते हैं, तो आपको यकीन नहीं होगा कि आपको पूरी खराब चीजें मिल गई हैं!

अंत में, आप वास्तव में सब कुछ स्थापित करने से पहले वास्तव में शांत नहीं होंगे (विश्वसनीय स्रोतों से!)

यदि आप सर्वर को फिर से नहीं कर सकते हैं, तो अगली सबसे अच्छी बात यह है कि जितना संभव हो उतना अपने फ़ायरवॉल को बंद कर दें। हर एक संभव इनबाउंड कनेक्शन का पालन करें और सुनिश्चित करें कि यह पूर्ण न्यूनतम तक कम हो गया है।

सभी पासवर्ड बदलें।

सभी ssh कुंजी बदलें।

आम तौर पर इसकी काफी मेहनत ...

लेकिन अगर इसकी एक वेबसाइट है, तो लॉगिन बटन के ठीक पीछे के कोड को देखें।

हमें एक "if username = 'admin'" एक बार टाइप करने को मिला ...

संक्षेप में, पिछले आईटी लोगों के ज्ञान को बेकार कर दें।

आईटी इन्फ्रास्ट्रक्चर को प्रभावित किए बिना आप जो कुछ भी बदल सकते हैं, उसे बदलें।

आपूर्तिकर्ताओं को बदलना या विविधता लाना एक और अच्छा अभ्यास है।