Forums Neueste Beiträge
 

Ex-Mitarbeiter: unerlaubter SSH-Gebrauch

07/05/2009 - 17:14 von Alina Radtke | Report spam
Hallo zusammen,

wir haben heute auf der Arbeit festgestellt, dass ein ehemaliger Kollege aus dem Vertrieb sich auf einem Debian-server mit SSH eingeloggt hat. Es handelt sich um keinen root-Account, und der Account wird nun auch gelöscht (passwort wurde sofort geàndert).

Nun stehe ich vor dem System und frage mich, ob es in irgendeiner Weise auch mit einem nicht-root-Account kompromittiert worden sein könnte. Das System ist recht umfangreich und derzeit auch produktiv, so dass ich nicht einfach formatieren und neu aufsetzen kann.

Wenn ich nun also seinen Account löschen lasse, ist es dann dennoch möglich, dass er bereits einen Virus/Malware/Backdoor installiert hat, die ihm in Zukunft weiter Zugang auf das System gewàhrt? Wie kann ich überprüfen, was er veràndert und manipuliert hat? Besteht diese Möglichkeit von einem normalen Benutzer-Account aus überhaupt? Kenne mich mit Debian noch nicht so besonders gut aus.


Vielen Dank für jeden Tipp!
Alina
 

Lesen sie die antworten

#1 helmut
07/05/2009 - 17:34 | Warnen spam
Hallo, Alina,

Du meintest am 07.05.09:

Wenn ich nun also seinen Account löschen lasse, ist es dann dennoch
möglich, dass er bereits einen Virus/Malware/Backdoor installiert
hat, die ihm in Zukunft weiter Zugang auf das System gewàhrt?



Natürlich!
Wobei ich als Ex-Mitarbeiter keinen der üblichen "rootkits" einbauen
würde - die werden von vielen Suchprogrammen gefunden. Interessanter
wàre für mich Zugriff auf Firmendaten - Lesezugriff reicht. Dazu muss
ich nicht mal in jedem Fall "root"-Rechte haben.

Wie kann ich überprüfen, was er veràndert und manipuliert hat?



Durch bitweisen Vergleich vieler Dateien. Minimum: alle Accounts,
nachzulesen (ohne LDAP) in "/etc/passwd". Also nàherungsweise unmöglich.
Und dann gibt es auch noch die Möglichkeit, sich mindestens 1 Passwort
eines anderen Mitarbeiters zu klauen.

Die ganz andere Kontrolle: Kontrolle der Zugriffe von draussen. Das
bedeutet Logdateien lesen, und eventuell Mitarbeiter befragen, "warst Du
das?"

Besteht
diese Möglichkeit von einem normalen Benutzer-Account aus überhaupt?

Kenne mich mit Debian noch nicht so besonders gut aus.



Ist kein spezielles Debian-Problem, das kann Dir bei jeder anderen
Dsitribution auch passieren. Solange er Mitarbeiter war, musste er ja
Zugriff auf etliche Dateien haben. Und alle jetzigen Mitarbeiter müssen
immer noch Zugriff auf etliche Dateien haben. Das arme System kann da
nicht unbedingt die Guten von den Bösen unterscheiden.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".

Ähnliche fragen