2

Я пытаюсь устранить неполадки в сети на МСП моей подруги: предыдущий сетевой администратор более или менее пытался шантажировать их (например, отказываясь давать пароли различных устройств: NAS и т.д., Если он не получит деньги) поэтому они избавились от него.

Теперь мы меняем все пароли со всех компьютеров, камер, NAS и т.д., И я обнаружил что-то странное в подвале, рядом со стойкой я обнаружил небольшой корпус (не очень профессиональный, с явно сделанным вручную отверстием) чтобы кабели проходили в него): я открыл его, и он содержит Raspberry Pi, подключенный через USB к жесткому диску. Существует два подключения к этому Raspberry: один USB-кабель к жесткому диску и один Ethernet-кабель, который подключается к TPLink VPN (кабель, идущий к / от Raspberry, подключается к одному из четырех портов Ethernet, а не к порту WAN).

Какова будет роль такого устройства в "нормальной" компании, которая не имеет ничего общего с ИТ: это компания по налоговому учету, которая имеет два небольших офиса (отсюда и VPN)?

Как я могу точно узнать, для чего используется этот Raspberry PI? (Я обеспокоен тем, что, выключив его, я испортил бы конфигурацию сети)

Может ли это быть резервной копией?

Обратите внимание, что я не знаю, является ли superuser правильным сайтом stackexchange, чтобы задавать такой вопрос, и видел, что я не знаю, для чего используется эта Raspberry, я не знаю, какие теги использовать.

Любая помощь очень ценится.

1 ответ1

3

Спросить это немного похоже: какова цель этой книги? У этого есть два переплета, много страниц, индекс и глоссарий. Вы никогда не узнаете, пока не посмотрите на это.

USB-диск содержит некоторые данные, его порт Ethernet позволяет осуществлять связь как с локальной, так и с глобальной сетью. Я не понимаю, почему вы утверждаете, что он подключен к VPN.

Raspberry PIs, хотя и имеют небольшие размеры, это всего лишь полнофункциональные компьютеры. Вы можете написать код, работающий на них, для чего угодно. Учитывая характер человека, который его установил, и его местоположение, наиболее вероятно, что он используется в качестве бэкдора в вашу систему. Использование черного хода еще раз настолько широко, насколько это возможно, включая, как правило, всевозможные гнусные схемы.

Хотя кажется маловероятным, что он выполняет какую-либо полезную задачу, связанную с сетью. На твоем месте я бы просто отцепил его от твоей сети и посмотрел что происходит. В любом случае, даже если бы он выполнял что-то полезное, как вы могли бы поверить, что он не выполняет ничего плохого на стороне?

Помимо использования инструмента сетевого мониторинга (который может дать много ценной информации), вы можете проверить содержимое диска (если он зашифрован, то вы можете быть почти уверены, что он используется для незаконных схем), а также SD карта рпи. Вы можете просто подключить карту к своему компьютеру, смонтировать ее и просмотреть файлы, которые запускаются автоматически, то есть содержимое /etc/init.d, /etc/rc.local, наличие таких программ, как autossh, openvpn и т.д. , Еще раз, если карта, если она зашифрована, можно с уверенностью поспорить, что он что-то замышляет.

Если вы действительно заинтересованы в этом, и ни один из компонентов не зашифрован, то вы можете попробовать использовать программу гипервизора (VirtualBox, HyperV, KVM, Xen, в зависимости от вашей платформы) для создания виртуальной машины, загружающейся с SD-карты. Там должно быть миллиард ссылок Google на Forensics in a Virtual Environment/Machine ...

Но больше всего я бы очень быстро отключил его.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .