Pertanyaan Bagaimana Anda mencari backdoors dari orang IT sebelumnya?


Kita semua tahu itu terjadi. Seorang IT tua yang pahit meninggalkan sebuah pintu belakang ke dalam sistem dan jaringan untuk bersenang-senang dengan orang-orang baru dan menunjukkan kepada perusahaan bagaimana hal-hal buruk tanpa dirinya.

Saya tidak pernah secara pribadi mengalami ini. Yang paling saya alami adalah seseorang yang mencuri dan mencuri barang sebelum pergi. Saya yakin ini terjadi.

Jadi, ketika mengambil alih jaringan yang tidak bisa dipercaya, langkah apa yang harus diambil untuk memastikan semuanya aman dan terjamin?


355
2017-08-18 15:04




+1, saya suka pertanyaan ini. Ini adalah hal yang paling tidak saya sukai ketika berhadapan dengan klien baru, terutama jika orang terakhir itu pergi dengan kondisi buruk. - DanBig
Kebanyakan tempat yang saya tinggalkan, saya tidak ada di sana mengatakan "Jangan lakukan itu" sudah cukup untuk menurunkan jaringan. Saya tidak perlu meninggalkan pintu belakang. - Paul Tomblin
@ Paul, itu menunjukkan Anda tidak mendokumentasikan dengan benar. Mari berharap orang baru (s) melakukan itu bagian dari pekerjaan mereka dengan benar. - John Gardeniers
@John, pengguna dan rekan kerja Anda membaca dokumentasi? Di mana saya bisa mendapatkan beberapa dari mereka? - Paul Tomblin
@ Paul, pengguna - tidak, mengapa harus begitu? Rekan kerja (dengan asumsi Anda berarti orang IT) - ya. Membaca dokumen harus menjadi langkah pertama dalam memulai pekerjaan baru. - John Gardeniers


Jawaban:


Ini sangat, sangat, sangat sulit. Ini membutuhkan audit yang sangat lengkap. Jika Anda sangat yakin orang tua itu meninggalkan sesuatu di belakang yang akan meledak, atau meminta perekrutan ulang karena mereka satu-satunya yang dapat memadamkan api, maka sudah waktunya untuk berasumsi bahwa Anda telah di-root oleh pihak musuh. Perlakukan itu seperti sekelompok peretas masuk dan mencuri barang-barang, dan Anda harus membersihkan setelah kekacauan mereka. Karena memang begitu.

  • Audit setiap akun pada setiap sistem untuk memastikan itu terkait dengan entitas tertentu.
    • Akun yang tampaknya terkait dengan sistem tetapi tidak ada yang dapat diperhitungkan tidak dipercaya.
    • Akun yang tidak terkait dengan apa pun perlu dibersihkan (ini perlu dilakukan, tetapi sangat penting dalam hal ini)
  • Ubah setiap dan semua kata sandi yang mungkin telah mereka hubungi.
    • Ini bisa menjadi masalah nyata untuk akun utilitas karena kata sandi itu cenderung dikodekan menjadi sesuatu.
    • Jika mereka adalah tipe helpdesk yang merespons panggilan pengguna akhir, anggap mereka memiliki kata sandi dari siapa pun yang mereka bantu.
    • Jika mereka memiliki Admin Enterprise atau Admin Domain ke Active Directory, asumsikan mereka mengambil salinan hash kata sandi sebelum mereka pergi. Ini dapat dipecahkan begitu cepat sehingga perubahan sandi seluruh perusahaan perlu dipaksakan dalam beberapa hari.
    • Jika mereka memiliki akses root ke kotak * nix apa saja, berasumsi bahwa mereka berjalan dengan tanda kata sandi.
    • Tinjau semua penggunaan kunci SSH kunci publik untuk memastikan kunci mereka dibersihkan, dan audit jika ada kunci privat yang terkena saat Anda berada di dalamnya.
    • Jika mereka memiliki akses ke peralatan telekomunikasi, ubah kata sandi router / switch / gateway / PBX. Ini bisa menjadi rasa sakit yang benar-benar kerajaan karena ini dapat melibatkan pemadaman yang signifikan.
  • Sepenuhnya audit pengaturan keamanan perimeter Anda.
    • Pastikan semua lubang firewall dilacak ke perangkat dan port yang berwenang.
    • Pastikan semua metode akses jarak jauh (VPN, SSH, BlackBerry, ActiveSync, Citrix, SMTP, IMAP, WebMail, apa pun) tidak memiliki autentikasi tambahan yang ditempelkan, dan sepenuhnya vet mereka untuk metode akses yang tidak sah.
    • Pastikan tautan WAN jarak jauh dilacak ke orang yang sepenuhnya dipekerjakan, dan verifikasi. Terutama koneksi nirkabel. Anda tidak ingin mereka pergi dengan perusahaan membayar modem seluler atau telepon pintar. Hubungi semua pengguna tersebut untuk memastikan mereka memiliki perangkat yang tepat.
  • Sepenuhnya audit pengaturan akses privileged internal. Ini adalah hal-hal seperti akses SSH / VNC / RDP / DRAC / iLO / IMPI ke server yang tidak dimiliki pengguna umum, atau akses apa pun ke sistem sensitif seperti penggajian.
  • Bekerja dengan semua vendor eksternal dan penyedia layanan untuk memastikan kontak sudah benar.
    • Pastikan mereka dihilangkan dari semua daftar kontak dan layanan. Ini harus dilakukan bagaimanapun setelah keberangkatan, tetapi sekarang sangat penting.
    • Validasi semua kontak adalah sah dan memiliki informasi kontak yang benar, ini untuk menemukan hantu yang dapat ditiru identitasnya.
  • Mulai berburu bom logika.
    • Periksa semua otomatisasi (penjadwal tugas, tugas cron, daftar panggilan UPS, atau apa pun yang berjalan sesuai jadwal atau dipicu peristiwa) untuk tanda-tanda kejahatan. Dengan "Semua" Maksudku semua. Periksa setiap crontab tunggal. Periksa setiap tindakan otomatis dalam sistem pemantauan Anda, termasuk probe itu sendiri. Periksa setiap Penjadwal Tugas Windows tunggal; bahkan workstation. Kecuali Anda bekerja untuk pemerintah di daerah yang sangat sensitif Anda tidak akan mampu membeli "semua", lakukan sebanyak yang Anda bisa.
    • Validasi biner sistem kunci pada setiap server untuk memastikan mereka adalah apa yang seharusnya. Ini rumit, terutama pada Windows, dan hampir tidak mungkin dilakukan secara retroaktif pada sistem satu-off.
    • Mulai berburu rootkit. Menurut definisi mereka sulit ditemukan, tetapi ada pemindai untuk ini.

Tidak mudah sedikit pun, bahkan tidak dekat. Membenarkan biaya semua itu bisa sangat sulit tanpa bukti yang pasti bahwa admin sekarang-ex itu sebenarnya jahat. Keseluruhan hal di atas bahkan tidak dapat dilakukan dengan aset perusahaan, yang akan mengharuskan konsultan keamanan menyewa untuk melakukan beberapa pekerjaan ini.

Jika kejahatan yang sebenarnya terdeteksi, terutama jika kejahatan ada dalam beberapa jenis perangkat lunak, profesional keamanan terlatih adalah yang terbaik untuk menentukan luasnya masalah. Ini juga titik ketika kasus kriminal dapat mulai dibangun, dan Anda sangat ingin orang yang terlatih dalam menangani bukti untuk melakukan analisis ini.


Tapi, sungguh, seberapa jauh kamu harus pergi? Di sinilah manajemen risiko ikut bermain. Sederhananya, ini adalah metode menyeimbangkan risiko yang diharapkan terhadap kerugian. Sysadmin melakukan ini ketika kita memutuskan yang lokasi off-site kami ingin menempatkan backup; brankas bank vs sebuah pusat data di luar wilayah. Mencari tahu berapa banyak daftar ini perlu mengikuti adalah latihan dalam manajemen risiko.

Dalam hal ini penilaian akan dimulai dengan beberapa hal:

  • Tingkat keterampilan yang diharapkan dari berangkat
  • Akses dari berangkat
  • Harapan bahwa kejahatan telah terjadi
  • Kerusakan potensial dari kejahatan apa pun
  • Ketentuan-ketentuan peraturan untuk melaporkan kejahatan yang dilakukan dan secara preemtif menemukan kejahatan. Umumnya Anda harus melaporkan yang pertama, tetapi tidak nanti.

Keputusan tentang seberapa jauh lubang kelinci di atas untuk menyelam akan tergantung pada jawaban atas pertanyaan-pertanyaan ini. Untuk keberangkatan admin rutin di mana harapan kejahatan sangat kecil, sirkus penuh tidak diperlukan; mengubah kata sandi tingkat admin dan re-keying host SSH eksternal menghadap mungkin sudah cukup. Sekali lagi, postur keamanan manajemen risiko perusahaan menentukan ini.

Untuk admin yang diberhentikan karena sebab, atau kejahatan yang muncul setelah keberangkatan mereka yang normal, sirkus menjadi lebih dibutuhkan. Skenario terburuk adalah tipe BOFH paranoid yang telah diberitahu bahwa posisi mereka akan dibuat redundan dalam 2 minggu, karena itu memberi mereka banyak waktu untuk bersiap; dalam keadaan seperti ini Ide Kyle tentang paket pesangon yang murah hati dapat mengurangi semua jenis masalah. Bahkan paranoids dapat memaafkan banyak dosa setelah cek yang berisi pembayaran 4 bulan tiba. Pemeriksaan itu mungkin akan lebih murah daripada biaya konsultan keamanan yang diperlukan untuk menemukan kejahatan mereka.

Tetapi pada akhirnya, itu tergantung pada biaya untuk menentukan apakah kejahatan dilakukan versus biaya potensial dari kejahatan apa pun yang sebenarnya sedang dilakukan.


329
2017-08-18 15:40



+1 - Keadaan seni sehubungan dengan sistem pengauditan binari sangat buruk hari ini. Alat forensik komputer dapat membantu Anda memverifikasi tanda tangan pada binari, tetapi dengan proliferasi versi biner yang berbeda (terutama pada Windows, apa yang terjadi dengan semua pembaruan setiap bulan) cukup sulit untuk memunculkan skenario yang meyakinkan di mana Anda bisa mendekati 100% verifikasi biner. (Saya akan memberi Anda 10 jika saya bisa, karena Anda telah merangkum seluruh masalah dengan cukup baik. Ini masalah yang sulit, terutama jika tidak ada pemisahan dan pemisahan tugas pekerjaan.) - Evan Anderson
+++ Re: mengubah kata sandi akun layanan. Ini harus didokumentasikan secara menyeluruh, jadi proses ini sangat penting jika Anda diharapkan untuk melakukan pekerjaan Anda. - Kara Marfia
@Joe H .: Jangan lupa memverifikasi isi cadangan kata independen dari infrastruktur produksi. Perangkat lunak pencadangan bisa trojanized. (Salah satu Pelanggan saya memiliki pihak ketiga dengan instalasi independen dari aplikasi LOb mereka yang dikontrak untuk memulihkan cadangan, memuatnya ke dalam aplikasi, dan memverifikasi bahwa laporan keuangan yang dihasilkan dari cadangan cocok dengan yang dihasilkan oleh sistem produksi. liar...) - Evan Anderson
Jawaban yang bagus. Selain itu, jangan lupa untuk menghapus karyawan yang telah keluar sebagai titik kontak resmi untuk penyedia layanan dan vendor. Pendaftar domain. Penyedia layanan internet. Perusahaan telekomunikasi. Pastikan semua pihak eksternal ini mendapatkan kata bahwa karyawan tidak lagi berwenang untuk membuat perubahan atau mendiskusikan akun perusahaan. - Mox
"Keseluruhan hal di atas mungkin tidak dapat dilakukan dengan aset perusahaan, yang akan mengharuskan konsultan keamanan menyewa untuk melakukan beberapa pekerjaan ini." - tentu saja ini paparan yang mengarah ke kompromi. Tingkat audit ini membutuhkan akses sistem tingkat sangat rendah - dan oleh individu yang tahu bagaimana menyembunyikan sesuatu. - MightyE


Saya akan mengatakan itu adalah keseimbangan dari seberapa banyak perhatian yang Anda miliki vs uang yang Anda bayarkan.

Sangat prihatin:
Jika Anda sangat khawatir maka Anda mungkin ingin menyewa konsultan keamanan luar untuk melakukan pemindaian lengkap dari segala sesuatu baik dari perspektif luar dan internal. Jika orang ini sangat pintar Anda bisa mendapat masalah, mereka mungkin memiliki sesuatu yang akan tidak aktif untuk sementara waktu. Pilihan lainnya adalah dengan membangun kembali semuanya. Ini mungkin terdengar sangat berlebihan tetapi Anda akan belajar lingkungan dengan baik dan Anda membuat proyek pemulihan bencana juga.

Agak Peduli:
Jika Anda hanya sedikit khawatir, Anda mungkin hanya ingin melakukannya:

  • Sebuah pemindaian port dari luar.
  • Pemindaian Virus / Spyware. Rootkit Pindai Mesin Linux.
  • Lihatlah konfigurasi firewall untuk apa pun yang Anda tidak mengerti.
  • Ubah semua kata sandi dan cari akun yang tidak dikenal (Pastikan mereka tidak mengaktifkan seseorang yang tidak lagi bersama perusahaan sehingga mereka dapat menggunakannya dll).
  • Ini mungkin juga saat yang tepat untuk melihat cara menginstal Intrusion Detection System (IDS).
  • Perhatikan log lebih dekat dari biasanya.

Demi masa depan:
Ke depan ketika seorang admin pergi memberinya pesta yang menyenangkan dan kemudian ketika dia mabuk, dia menawarkan tumpangan pulang - lalu buang dia di sungai terdekat, rawa, atau danau. Lebih serius, ini adalah salah satu alasan bagus untuk memberi admin pembayaran pesangon yang murah hati. Anda ingin mereka merasa baik-baik saja untuk pergi sebanyak mungkin. Bahkan jika mereka tidak merasa baik, siapa yang peduli?, Menghisapnya dan membuat mereka bahagia. Anggap itu salahmu dan bukan kesalahan mereka. Biaya kenaikan biaya untuk asuransi pengangguran dan paket pesangon tidak dibandingkan dengan kerusakan yang bisa mereka lakukan. Ini semua tentang jalan paling tidak resistan dan menciptakan drama sesedikit mungkin.


98
2017-08-18 15:18



Jawaban yang tidak termasuk pembunuhan mungkin lebih disukai :-) - Jason Berg
+1 untuk saran BOFH. - jscott
@Kyle: Itu seharusnya menjadi rahasia kecil kami ... - GregD
Sakelar mematikan, Kyle. Kami menempatkan mereka di sana jika kita pergi untuk sementara waktu :) Dengan "kita", maksud saya, uh, mereka? - Bill Weiss
+1 - Ini adalah jawaban praktis, dan saya suka diskusi berdasarkan pada analisis risiko / biaya (karena memang begitulah). Jawaban Sysadmin1138 adalah sedikit lebih komprehensif: "karet bertemu dengan jalan", tetapi tidak perlu masuk ke dalam analisis risiko / biaya dan fakta bahwa, sebagian besar waktu, Anda harus mengesampingkan beberapa asumsi sebagai "terlalu terpencil". (Itu mungkin keputusan yang salah, tetapi tidak ada yang punya waktu / uang yang tidak terbatas.) - Evan Anderson


Jangan lupa orang-orang seperti Teamviewer, LogmeIn, dll ... Saya tahu ini sudah disebutkan, tetapi audit perangkat lunak (banyak aplikasi di luar sana) dari setiap server / workstation tidak akan merugikan, termasuk subnet (s) scan dengan nmap Skrip NSE.


19
2017-08-24 22:40





Pertama-tama - dapatkan cadangan dari semua yang ada di penyimpanan di luar situs (misalnya rekaman, atau HDD yang Anda putuskan dan disimpan di penyimpanan). Dengan begitu, jika sesuatu yang jahat terjadi, Anda mungkin dapat memulihkan sedikit.

Selanjutnya, sisir melalui aturan firewall Anda. Semua port terbuka yang mencurigakan harus ditutup. Jika ada pintu belakang maka mencegah akses ke sana akan menjadi hal yang baik.

Akun pengguna - cari pengguna Anda yang tidak puas dan pastikan aksesnya dihapus sesegera mungkin. Jika ada kunci SSH, atau file / etc / passwd, atau entri LDAP, bahkan file .htaccess, semua harus dipindai.

Di server penting Anda, cari aplikasi dan port pendengar yang aktif. Pastikan proses yang berjalan yang melekat padanya tampak masuk akal.

Pada akhirnya karyawan yang tidak puas dapat melakukan apa saja - bagaimanapun juga, mereka memiliki pengetahuan tentang semua sistem internal. Satu harapan bahwa mereka memiliki integritas untuk tidak mengambil tindakan negatif.


18
2017-08-18 15:25



backup mungkin juga penting jika sesuatu terjadi, dan Anda memutuskan untuk pergi dengan rute penuntutan, sehingga Anda mungkin ingin mencari tahu apa aturan untuk penanganan bukti, dan pastikan Anda mengikuti mereka, berjaga-jaga. - Joe H.
Tetapi jangan lupa bahwa apa yang baru saja Anda cadangkan mungkin termasuk aplikasi yang di-root / config / data, dll. - Shannon Nelson
Jika Anda memiliki cadangan dari sistem yang di-root, maka Anda memiliki bukti. - XTL


Infrastruktur yang dikelola dengan baik akan memiliki alat, pemantauan, dan kontrol untuk mencegahnya. Ini termasuk:

Jika alat-alat ini sudah terpasang dengan benar, Anda akan memiliki jejak audit. Jika tidak, Anda harus tampil penuh tes penetrasi.

Langkah pertama adalah mengaudit semua akses dan mengubah semua kata sandi. Berfokuslah pada akses eksternal dan titik masuk potensial - di sinilah waktu Anda paling baik digunakan. Jika jejak eksternal tidak dibenarkan, hilangkan atau perkecil. Ini akan memberi Anda waktu untuk fokus pada lebih banyak detail secara internal. Waspadai semua lalu lintas keluar juga, karena solusi terprogram dapat mentransfer data yang dibatasi secara eksternal.

Pada akhirnya, menjadi administrator sistem dan jaringan akan memungkinkan akses penuh ke sebagian besar, jika tidak semua hal. Dengan ini, muncul tingkat tanggung jawab yang tinggi. Mempekerjakan dengan tingkat tanggung jawab ini tidak boleh dianggap enteng dan langkah-langkah harus diambil untuk meminimalkan risiko sejak awal. Jika seorang profesional dipekerjakan, bahkan pergi dengan kondisi buruk, mereka tidak akan mengambil tindakan yang tidak profesional atau ilegal.

Ada banyak posting detail di Server Fault yang mencakup audit sistem yang tepat untuk keamanan serta apa yang harus dilakukan jika ada penghentian seseorang. Situasi ini tidak unik dari situ.


17
2017-08-18 15:31





BOFH yang pandai bisa melakukan hal-hal berikut:

  1. Program periodik yang memulai koneksi keluar netcat pada port yang terkenal untuk mengambil perintah. Misalnya. Port 80. Jika dilakukan dengan baik lalu lintas bolak-balik akan memiliki kemunculan lalu lintas untuk port itu. Jadi, jika pada port 80, itu akan memiliki header HTTP, dan payloadnya adalah potongan yang disematkan pada gambar.

  2. Perintah Aperiodic yang terlihat di tempat khusus untuk file untuk dieksekusi. Tempat dapat berada di komputer pengguna, komputer jaringan, tabel ekstra dalam database, direktori file spool sementara.

  3. Program yang memeriksa untuk melihat apakah satu atau lebih dari backdoor lainnya masih ada. Jika tidak, maka varian di atasnya dipasang, dan detailnya dikirim melalui email ke BOFH

  4. Karena banyak cara backup sekarang dilakukan dengan disk, ubah cadangan agar berisi setidaknya beberapa kit root Anda.

Cara untuk melindungi diri Anda dari hal semacam ini:

  1. Ketika seorang karyawan kelas BOFH pergi, pasang kotak baru di DMZ. Ia mendapat salinan semua lalu lintas yang melewati firewall. Cari anomali dalam lalu lintas ini. Yang terakhir ini tidak sepele, terutama jika BOFH bagus dalam meniru pola lalu lintas normal.

  2. Ulangi server Anda sehingga biner kritis disimpan pada media hanya-baca. Artinya, jika Anda ingin memodifikasi / bin / id, Anda harus pergi ke mesin, secara fisik memindahkan switch dari RO ke RW, reboot pengguna tunggal, remount yang partisi rw, instal salinan baru Anda ps, sync, reboot, beralih beralih. Sistem yang dilakukan dengan cara ini memiliki setidaknya beberapa program tepercaya dan kernel tepercaya untuk melakukan pekerjaan lebih lanjut.

Tentu saja jika Anda menggunakan windows, Anda disemprot.

  1. Membedakan struktur infra Anda. Tidak masuk akal dengan perusahaan kecil dan menengah.

Cara mencegah hal semacam ini.

  1. Pelamar dokter hewan dengan hati-hati.

  2. Cari tahu apakah orang-orang ini tidak puas dan memperbaiki masalah personel sebelumnya.

  3. Saat Anda menutup admin dengan kekuatan semacam ini, tambahkan pai:

    Sebuah. Gajinya atau sebagian dari gajinya berlanjut untuk jangka waktu tertentu atau sampai ada perubahan besar dalam perilaku sistem yang tidak dapat dijelaskan oleh staf TI. Ini bisa menjadi peluruhan eksponensial. Misalnya. dia mendapat gaji penuh selama 6 bulan, 80% dari itu selama 6 bulan, 80 persen bahwa untuk 6 bulan ke depan.

    b. Bagian dari gajinya adalah dalam bentuk opsi saham yang tidak berpengaruh selama satu sampai lima tahun setelah dia pergi. Opsi-opsi ini tidak dihapus ketika dia pergi. Dia memiliki insentif untuk memastikan bahwa perusahaan akan berjalan dengan baik dalam 5 tahun.


16
2017-08-25 15:37



WTF adalah BOFH ?? - Chloe
Chloe, BOFH adalah kependekan dari Bastard Operator dari Neraka, soggopath soggopath yang terkenal paranoid-delusional meglomaniacal sysadmin bahwa orang-orang IT yang menghabiskan terlalu banyak waktu mengambil mouse seseorang dari mimpi menjadi mimpi. Ada serangkaian cerita yang awalnya diajukan ke alt.sysadmin.recovery di bofh.ntk.net/Bastard.html  en.wikipedia.org/wiki/Bastard_Operator_From_Hell - Stephanie
Semakin tinggi skor ServerFault Anda, semakin tinggi peluang Anda menjadi BOFH :-) - dunxd
"Tentu saja jika Anda menggunakan jendela, Anda disemprot." Saya ingin ini di dinding saya. - programmer5000


Saya merasa bahwa ada masalah bahkan sebelum admin pergi. Hanya saja yang lebih memperhatikan masalah pada saat itu.

-> Seseorang membutuhkan proses untuk mengaudit setiap perubahan, dan bagian dari prosesnya adalah bahwa perubahan hanya diterapkan melaluinya.


13
2017-08-24 22:55



Saya ingin tahu tentang bagaimana Anda menegakkan proses semacam ini? - Mr. Shiny and New 安宇
Ini cukup sulit dilakukan di perusahaan kecil (mis. 1-2 tipe Sys Admin) - Beep beep
Ini sangat sulit untuk ditegakkan, tetapi itu dapat ditegakkan. Salah satu aturan besar adalah bahwa tidak ada yang hanya masuk ke kotak dan mengaturnya, bahkan melalui sudo. Perubahan harus melalui alat manajemen konfigurasi, atau harus terjadi dalam konteks peristiwa tipe-api. Setiap perubahan rutin ke sistem harus melalui boneka, cfengine, chef, atau alat yang serupa, dan seluruh tubuh kerja untuk sysadmin Anda harus ada sebagai versi yang dikendalikan dari skrip ini. - Stephanie


Pastikan untuk memberi tahu semua orang di perusahaan setelah mereka pergi. Ini akan menghilangkan vektor serangan rekayasa sosial. Jika perusahaan besar, maka pastikan orang yang perlu tahu, tahu.

Jika admin juga bertanggung jawab untuk kode yang ditulis (situs web perusahaan dll) maka Anda perlu melakukan audit kode juga.


12
2017-08-25 02:51





Ada yang besar yang ditinggalkan semua orang.

Ingat bahwa tidak ada sistem saja.

  • Apakah vendor tahu bahwa orang tersebut bukan staf, dan tidak boleh diberi akses (colo, telco)
  • Apakah ada layanan yang di-host eksternal yang mungkin memiliki kata sandi terpisah (pertukaran, crm)
  • Mungkinkah mereka memiliki bahan pemerasan di atas (baik-baik saja ini mulai mencapai sedikit ...)

12
2017-08-25 11:08





Kecuali Anda benar-benar paranoid, maka saran saya hanya akan menjalankan beberapa alat pemindaian TCP / IP (tcpview, wireshark dll) untuk melihat apakah ada sesuatu yang mencurigakan yang mencoba untuk menghubungi dunia luar.

Ubah kata sandi administrator dan pastikan tidak ada akun administrator 'tambahan' yang tidak perlu ada di sana.

Juga, jangan lupa untuk mengubah kata sandi akses nirkabel dan periksa pengaturan perangkat lunak keamanan Anda (khususnya AV dan Firewall)


9
2017-08-18 15:23



+1 untuk mengubah kata sandi administrator - PP.
Ok tapi hati-hati mendengarkan secara pasif untuk hal-hal aneh karena Anda bisa berkedip ketika itu TRUNCATE TABLE customer dijalankan: P - Khai
Jika ada rootkit, itu bisa mendengarkan perubahan passwd. - XTL