Comment rechercher les backdoors de l'informaticien précédent ?

Brûle-le.... brûle-le tout.

C'est la seule façon d'être sûr.

Ensuite, brûlez tous vos intérêts externes, les registraires de domaines, les fournisseurs de paiement par carte de crédit et tout le reste.

En y réfléchissant, il est peut-être plus facile de demander à un ami bikie de convaincre la personne qu'il est plus sain pour elle de ne pas vous déranger.

On peut supposer qu'un administrateur compétent a fait, quelque part, ce qu'on appelle une SAUVEGARDE de la configuration du système de base. On peut également supposer qu'il y a des sauvegardes effectuées avec un niveau de fréquence raisonnable permettant de restaurer une sauvegarde sûre.

Étant donné que certaines choses faire changement, c'est une bonne idée de fonctionner à partir de votre sauvegarde virtualisée si possible jusqu'à ce que vous puissiez vous assurer que l'installation primaire n'est pas compromise.

En supposant que le pire devienne évident, vous fusionnez ce que vous pouvez, et saisissez à la main le reste.

Je suis choqué que personne n'ait mentionné l'utilisation d'une sauvegarde sûre, avant moi. Cela signifie-t-il que je devrais soumettre mon CV à vos départements de RH ?

Essayez de prendre son point de vue.

Vous connaissez votre système et ce qu'il fait. Donc vous pouvez essayer d'imaginer ce qui pourrait être a inventé pour se connecter depuis l'extérieur, même si vous n'êtes plus sysadmin...

En fonction de l'infrastructure du réseau et de son fonctionnement, vous êtes la personne la mieux placée pour savoir ce qu'il faut faire et où cela peut être situé.

Mais comme vous semblez parler d'une expérience bofh il faut chercher presque partout...

Suivi du réseau

Comme le but principal est de prendre à distance contrôle de votre système, à travers votre connexion internet, vous pouvez regarder (même remplacer car cela pourrait être corrompu aussi !!) le pare-feu et essayer d'identifier chaque connexion active.

Le remplacement du pare-feu n'assure pas une protection complète, mais garantit que rien ne reste caché. Donc, si vous surveillez les paquets transmis par le pare-feu, vous doit voir tout, y compris le trafic indésirable.

Vous pouvez utiliser tcpdump pour tout tracer (comme le font les paranoïaques américains ;) et parcourir le fichier de vidage avec un outil avancé tel que wireshark . Prenez le temps de voir ce qu'est cette commande (besoin de 100Gb d'espace libre sur le disque) :

tcpdump -i eth0 -s 0 -C 100 -w tcpdump- -W 1000 >tcpdump.log 2>tcpdump.err </dev/null &

Ne vous fiez pas à tout

Même si vous trouvez quelque chose, vous ne serez pas sûr d'avoir trouvé tout ce qui est mauvais !

Enfin, vous ne serez pas vraiment tranquille avant d'avoir été réinstallé tout (à partir de sources fiables !)

Si vous ne pouvez pas refaire le serveur, la meilleure chose à faire est probablement de verrouiller vos pare-feu autant que vous le pouvez. Suivez chaque connexion entrante possible et assurez-vous qu'elle est réduite au strict minimum.

Changez tous les mots de passe.

Remplacer toutes les clés ssh.

En général, c'est assez difficile...

mais si c'est un site web, regardez le code juste derrière le bouton de connexion.

On a trouvé un truc du genre "si nom d'utilisateur='admin'" une fois...