หลังจากเดือนที่ถูกทอดทิ้งเปลวไฟและการจัดการอีเมลต่อสู้กับระบบดูแลระบบปัจจุบันของเราถูกไล่ออกและส่งมอบ "ข้อมูลรับรองเซิร์ฟเวอร์" ให้ฉัน ข้อมูลรับรองดังกล่าวประกอบด้วยรหัสผ่านรูทและไม่มีสิ่งอื่นใด: ไม่มีขั้นตอนไม่มีเอกสารประกอบไม่มีเคล็ดลับไม่มีอะไร
คำถามของฉันคือ: สมมติว่าเขาทิ้ง boobytraps ไว้ข้างหลังฉันจะเข้าควบคุมเซิร์ฟเวอร์ด้วยเวลาที่น้อยที่สุดเท่าที่จะเป็นไปได้ได้อย่างไร
นี่คือรายละเอียด:
- เซิร์ฟเวอร์ที่ใช้งานจริงหนึ่งเซิร์ฟเวอร์อยู่ในเซิร์ฟเวอร์ฟาร์มในชั้นใต้ดิน เซิร์ฟเวอร์อูบุนตู 9.x อาจมี grsec patches (ข่าวลือที่ฉันได้ยินครั้งล่าสุดที่ฉันถามผู้ดูแลระบบ)
- เซิร์ฟเวอร์ภายในเครื่องหนึ่งที่มีเอกสารภายในทั้งหมดที่เก็บไฟล์ wikis ฯลฯ อีกครั้งเซิร์ฟเวอร์อูบุนตูอายุไม่กี่ปี
สมมติว่าเซิร์ฟเวอร์ทั้งสองได้รับการติดตั้งและทันสมัยดังนั้นฉันจึงไม่พยายามแฮ็กในแบบของฉันเว้นแต่จะมีเหตุผลที่ดี (เช่นสามารถอธิบายได้กับการจัดการระดับสูง)
เซิร์ฟเวอร์ที่ใช้งานจริงมีเว็บไซต์ไม่กี่โฮสต์ (apache-php-mysql มาตรฐาน), เซิร์ฟเวอร์ LDAP, ชุดอีเมล / เซิร์ฟเวอร์ ZIMBRA และเท่าที่ฉันสามารถบอกเวิร์กสเตชัน vmware สองสามตัวที่ทำงานอยู่ ไม่รู้ว่าเกิดอะไรขึ้นในนั้น น่าจะเป็นที่หนึ่งเป็นหลักของ LDAP แต่นั่นเป็นสิ่งที่เดายาก
เซิร์ฟเวอร์ภายในมี wiki / cms ภายในซึ่งเป็น slave LDAP ที่ทำซ้ำข้อมูลรับรองจากเซิร์ฟเวอร์ที่ใช้งานจริงเวิร์กสเตชัน vmware อีกสองสามตัวและการสำรองข้อมูลที่ทำงานอยู่
ฉันสามารถไปที่ผู้ดูแลระบบฟาร์มเซิร์ฟเวอร์ของชี้ไปที่เซิร์ฟเวอร์บอกพวกเขาว่า ' sudoปิดเซิร์ฟเวอร์โปรด' เข้าสู่ระบบในโหมดผู้ใช้คนเดียวและมีวิธีของฉันกับมัน เช่นเดียวกับเซิร์ฟเวอร์ภายใน แต่ถึงกระนั้นนั่นก็หมายถึงการหยุดทำงานการจัดการส่วนใหญ่ไม่พอใจผู้ดูแลระบบคนเก่าที่ยิงฉันกลับพูดว่า 'ดู? คุณไม่สามารถทำงานของฉัน 'และสิ่งรบกวนอื่น ๆ และที่สำคัญที่สุดคือฉันต้องสูญเสียเวลาสองสามสัปดาห์ที่ยังไม่ได้รับค่าจ้าง
ในอีกด้านหนึ่งของสเปกตรัมฉันสามารถเข้าสู่ระบบในฐานะ root และนิ้วรางเซิร์ฟเวอร์เพื่อพยายามทำความเข้าใจกับสิ่งที่เกิดขึ้น ด้วยความเสี่ยงทั้งหมดที่ทำให้เกิดเซอร์ไพรส์ทิ้ง
ฉันกำลังมองหาวิธีการแก้ปัญหาที่อยู่ตรงกลาง: การพยายามที่จะให้ทุกอย่างทำงานตามที่มันเป็นในขณะที่การทำความเข้าใจสิ่งที่เกิดขึ้นและวิธีการและที่สำคัญที่สุดการหลีกเลี่ยงวิกฤติหลุมพรางใด ๆ ทิ้งไว้ข้างหลัง
คุณมีข้อเสนอแนะอะไร?
จนถึงตอนนี้ฉันคิดถึงการ 'ฝึก' กับเซิร์ฟเวอร์ภายในตัดการเชื่อมต่อเครือข่ายเริ่มระบบใหม่ด้วยซีดีสดทิ้งระบบไฟล์รากลงในไดรฟ์ USB และโหลดบนเครื่องเสมือนที่ไม่เชื่อมต่อและแยกออกเพื่อทำความเข้าใจวิธีดูแลระบบเดิม กำลังคิด (a-la 'รู้จักศัตรูของคุณ') สามารถดึงเพลงเดียวกันกับเซิร์ฟเวอร์ที่ใช้งานจริง แต่การถ่ายโอนข้อมูลเต็มรูปแบบจะทำให้ใครบางคนสังเกตเห็น บางทีฉันก็สามารถเข้าสู่ระบบในฐานะ root ตรวจสอบ crontab ตรวจสอบ. profile สำหรับคำสั่งใด ๆ ที่เปิดตัวถ่ายโอนข้อมูลล่าสุดและสิ่งที่อยู่ในใจ
และนั่นคือเหตุผลที่ฉันมาที่นี่ คำใบ้ใด ๆ ไม่ว่าเล็กจะได้รับการชื่นชมอย่างมาก
เวลาเป็นปัญหาเช่นกัน: อาจมีสิ่งกระตุ้นเกิดขึ้นในอีกไม่กี่ชั่วโมงหรือไม่กี่สัปดาห์ รู้สึกเหมือนเป็นหนึ่งในภาพยนตร์ฮอลลีวู้ดที่ไม่ดีใช่ไหม?