Comment rechercher les backdoors de l'informaticien précédent ?

Vérifiez les journaux de vos serveurs (et des ordinateurs sur lesquels ils travaillent directement). Recherchez non seulement leur compte, mais aussi les comptes qui ne sont pas des administrateurs connus. Recherchez les trous dans vos journaux. Si un journal d'événements a été effacé récemment sur un serveur, celui-ci est suspect.

Vérifiez la date de modification des fichiers sur vos serveurs web. Exécutez un script rapide pour lister tous les fichiers récemment modifiés et les examiner.

Vérifiez la date de la dernière mise à jour de tous vos objets de stratégie de groupe et d'utilisateur dans AD.

Vérifiez que toutes vos sauvegardes fonctionnent et que les sauvegardes existantes existent toujours.

Vérifiez sur les serveurs où vous exécutez les services Volume Shadow Copy que l'historique précédent n'est pas manquant.

Je vois déjà beaucoup de bonnes choses dans la liste et je voulais juste ajouter ces autres choses que vous pouvez vérifier rapidement. Cela vaudrait la peine de faire une revue complète de tout. Mais commencez par les endroits où les changements sont les plus récents. Certains de ces éléments peuvent être vérifiés rapidement et peuvent déclencher des signaux d'alarme pour vous aider.

Je vous suggère de commencer par le périmètre. Vérifiez la configuration de votre pare-feu et assurez-vous que vous n'avez pas de points d'entrée inattendus dans le réseau. Assurez-vous que le réseau est physiquement sécurisé pour éviter qu'il ne pénètre à nouveau et n'accède à des ordinateurs.

Vérifiez que vous disposez de sauvegardes entièrement fonctionnelles et restaurables. De bonnes sauvegardes vous éviteront de perdre des données s'il fait quelque chose de destructeur.

Vérifier les services autorisés à travers le périmètre et s'assurer que l'accès lui a été refusé. Assurez-vous que ces systèmes ont des mécanismes de journalisation qui fonctionnent bien.

En gros, je dirais que si vous avez un BOFH compétent, vous êtes condamnés... il y a plein de façons d'installer des bombes qui passeraient inaperçues. Et si votre entreprise a l'habitude d'éjecter "manu-militari" ceux qui sont licenciés, soyez sûr que la bombe sera posée bien avant le licenciement ! !!

Le meilleur moyen est de minimiser les risques d'avoir un administrateur en colère... Évitez le "licenciement pour réduire les coûts" (s'il est un chef d'établissement compétent et vicieux, les pertes que vous pourriez subir seront probablement beaucoup plus importantes que ce que vous obtiendrez du licenciement)... S'il a fait une erreur inacceptable, il vaut mieux qu'il la répare (sans être payé) comme alternative au licenciement... Il sera plus prudent la prochaine fois pour ne pas répéter l'erreur (ce qui sera une augmentation de sa valeur)... Mais assurez-vous de toucher la bonne cible (il est fréquent que des personnes peu compétentes mais dotées d'un bon charisme rejettent leur propre faute sur la personne compétente mais moins sociale).

Et si vous êtes face à un véritable chef d'entreprise dans le pire des sens (et que ce comportement est la raison du licenciement), vous feriez mieux d'être prêt à réinstaller à partir de zéro tous les systèmes avec lesquels il a été en contact (ce qui signifie probablement chaque ordinateur).

N'oubliez pas qu'un seul changement de bit peut entraîner la destruction de tout le système... (bit setuid, Jump if Carry à Jump if No Carry, ...) et que même les outils de compilation peuvent avoir été compromis.

Bonne chance s'il sait vraiment quelque chose et s'il organise quelque chose à l'avance. Même un imbécile peut appeler, envoyer un courriel ou une télécopie à l'opérateur téléphonique pour lui signaler les déconnexions, ou même lui demander d'effectuer des tests complets sur les circuits pendant la journée.

Sérieusement, montrer un peu d'amour et quelques milliers de dollars au départ diminue vraiment le risque.

Oh oui, au cas où ils appellent pour "obtenir un mot de passe ou autre chose", rappelez-leur votre taux de 1099 et le minimum d'une heure et 100 frais de déplacement par appel, peu importe si vous devez être n'importe où...

Hé, c'est la même chose que mes bagages ! 1,2,3,4 !

Effacer tout, recommencer ;)