Как проверить наличие бекдоров после настройки сервера сисадминами?

Question

[av_tyschenko]

Что нужно проверить на сервере после работы сисадминов?
Чтобы они не получили доступ через бекдоры.
На сервере стоит Hypervisor Server ESXI. На нем виртуалки с ISP.

Answer 1

[Виктор Таран]

ну все что вы реально сможете проверить из закладок это явные типа пользователя с 0 0 правами.
Если мне нужно будет вы никогда не найдете мой бэкдор даже отлично зная линукс. не говоря уже о обратном.
Так что от самого админа вы можете себя обезопасить только хорошим отношением с ним, работайте честно и все.

Comments

[av_tyschenko]

мы работаем абсолютно честно, и с большой любовью много лет. Но факторы бывают разные, и поставить на карту кормящий проект - не предоставляется возможным.

Возвращаясь к вашему ответу про 0 0. Тут все понятно как светлый день. Если рут пароль только у меня. Получить доступ к серверу, как то еще можно? И если ограничить доступ на сервер по IP (который в свою очередь через VPN будет даваться статический). Насколько такая схема будет безопасной?

[Виктор Таран]

av_tyschenko, нинасколько она не безопасна.
1. могу написать баш скрипт который будет конектиться к какому-то днс имени которое еще не зарегистрированно да еще и с датой в название. положить его куда-то в системе
2. могу кастомизировать apache2 ( записать свой скрипт в него)
3. нписать его на любом языке интерпритатор которого есть в системе.
Инициация связи будет со стороны сервера так что без разницы на ваши фаерволы, +1 строчка в скирпте.
Так же могу положить в ваш проект, к примеру прям в пхп поверьте там у вас в сайте такая помойка что 1 скрипт ляжет легко, да и можно вписать в существующий с гет параметром, в общем варианты то всегда есть.
Проверить все физически не возможно.

[av_tyschenko]

Виктор Таран, ваш ответ, мне будет максимально полезен. Я вам признателен.

[Виктор Таран]

av_tyschenko, за свою практику я видел много причин падения проектов и серверов. но ни одного из них не видил причина "нападение админа работавшего до этого там" как правило это с разлела ну мы очень посрались но даже в таком случае я не видел никаких реальных последствий.
самое страшное что я видел это админы заходили по бэкдорам дабы полазить по своим же конфигам.
Криминал ли это я хз.
Я стараюсь все оформлять статья на сайте и нет необходимости потом лазить по клиентам искать данные че я там наковырял до этого.
В общем Безопасности в IT не существует от слова совсем
Даже если у вас 3 отдела безопасности по факту они не обезопасят никак и ничего.
Как минимум Все даже русское ПО компилируется иностраннми компиляторами. И на вопрос есть ли там эксплойты, ответ да разумеется.
И есть ли эксплойты в гугл сервисах и айовс
да естественнно и те кому надо ими полозуются
Есть ли эксплойты в вашем Процессоре
да естественно и ими пользуются те кто их создают " наши иностранные партнеры"
Другой вопрос нужны ли лично вы этим товарищам ответ разумеется нет, не для вас все это делается.

Answer 2

[Александр Черных]

Нанять другого админа для проверки первого, потом третьего для проверки второго, четвертого для проверки третьего и так по циклу.
Обреченый платить, увы.
Либо начать разбираться самому.

А если серьезно, то esxi плохо поддается кастомизации, не о чем переживать

Comments

[av_tyschenko]

а я вопросы зачем задаю? Не для того что бы разбираться? Или вы мне предлагаете освоить специальность сис админа?

[Руслан Федосеев]

нанимаете сис админа, подписываете с ним нда... Ну или разбираетесь сами )

[Александр Черных]

Или вы мне предлагаете освоить специальность сис админа?

именно так, Вы сами хотите встать на эту стезю

[av_tyschenko]

Процетирую уже данный ответ другому автору, с подобным вашему ответом.

АртемЪ, я написал сюда. Что бы знающие люди. написали зрелый ответ. Где обычно оставляют бегдоры. Если бы вы меня спросили. Как найти очевидный бегдор в WP. Я бы вам посоветовал поиск как минимум eval запросы и массово проверить апдейт пользователей по файлам. Таким образом вы бы нашли очевидные формы доступа к сайту.

[CityCat4]

av_tyschenko, А Вам это придется сделать :) Потому что работу админа может проверить только админ более высокой квалификации - всем остальным админ запросто по ушам наездит, накидав страшных аббревиатур :D

[mkone112]

Более того - это относится ко всем специалистам. Когда получаешь диагноз у врача, приходится проверять его у второго врача, а потом у третьего. А если один из трех ставит диагноз отличный от предыдущего - приходится удлиннять цепочку. В конце еще приходится проверять все это самостоятельно, на банальный здравый смысл.

Answer 3

[Saboteur]

АртемЪ, я написал сюда. Что бы знающие люди. написали зрелый ответ. Где обычно оставляют бегдоры.

Зрелый ответ можно дать только на зрелый вопрос.

Если бы бэкдоры можно было бы просто вот так взять и найти по парочке советов и интернета, то нафига вообще целое направление security в ИТ сфере? Нафига сисадмины и хакеры десятилетиями изучают различные технологии?

Зрелый ответ - вы не сможете найти бэкдоры, если вы не специалист, ибо их может быть сколько угодно, где угодно. Самые-самые простые способы обсфукации бэкдоров легко защитят их от попыток найти их не-специалисту.

Вдобавок ОЧЕНЬ сложно даже специалисту найти бэкдоры там, где у потенциального злоумышленника был административный доступ.

Все, что вы можете сделать - сменить все пароли, почистить возможные ssh ключи (в /home/$USER/.ssh/authorized_keys) и то, даже это надо еще понимать как делать.

Answer 4

[Alexey Dmitriev]

Вам нужно проверить настройки хоста и виртуальных машин на наличие отсутствие бекдоров, лишних пользователей или некорректных \ неоптимальных настроек, связанных с безопасностью. Легче стало после ответа - теперь справитесь?

Comments

[av_tyschenko]

"виртуальных машин на наличие отсутствие бекдоров". мой вопрос был в целом, про то какие бывают бегдоры... И где их посмотреть.

[АртемЪ]

av_tyschenko,

про то какие бывают бегдоры...

Любые - тут уж на что фантазии хватит.

И где их посмотреть.

Там где их оставили разумеется. А поскольку вы не знаете где их оставили - искать.

[av_tyschenko]

АртемЪ, я написал сюда. Что бы знающие люди. написали зрелый ответ. Где обычно оставляют бегдоры. Если бы вы меня спросили. Как найти очевидный бегдор в WP. Я бы вам посоветовал поиск как минимум eval запросы и массово проверить апдейт пользователей по файлам. Таким образом вы бы нашли очевидные формы доступа к сайту.

[Alexey Dmitriev]

av_tyschenko, я вам дал зрелый ответ. Сравнивать поиск бекдоров ОС и CMS некорректно-так как это разные вещи.
Расписать вам все возможные варианты - сомневаюсь что кто-то потратит на вас столько времени и пойдет на это бесплатно.

[АртемЪ]

av_tyschenko,

Я бы вам посоветовал поиск как минимум eval запросы и массово проверить апдейт пользователей по файлам

И только?
Да банально в коде движка покопаться и прописать вечного пользователя который не будет отображаться. Или добавить кусок кода, который будет слать мне на почту пароль от админской учетки при каждой его смене. Способов тысячи. Вы назвали пару областей для поиска а их намного больше.

Answer 5

[CityCat4]

Что мне нужно проверить, после работы сис админов.

Ничего :) Ну в смысле можно конечно погуглить наиболее очевидные вещи, но хорошо спроектированный бэкдор, рассчитанный на то, что он будет работать в любых условиях найти сможет только админ, классом превосходящий того, кто его ставил (вот только если у Вас такая паранойя - то ведь он и сам может оставить бэкдор?).
Хорошие бэкдоры всегда кастомные, то есть проектируются с учетом ситуации в данном конкретном случае :) Где-то в дебрях /usr/share/что-то-там, где никто никогда не смотрит лежит скрипт, который стартует одной строчкой, добавленной в стандартный скрипт запуска стандартной службы - черта с два его найдешь, особенно если он месяца три будет "спать", чтобы не дать возможность связать его с уходом админа :)