Ich habe einen dedizierten Hosting-Server, auf dem nur wenige Websites ausgeführt werden. Ich habe kürzlich über die Terminal-Befehlszeile auf meinen Server zugegriffen und festgestellt, dass die letzten Befehle, die ausgeführt wurden, verdächtig aussehen und ich nicht sicher bin, was ich tun soll. Unten ist die Liste der ausgeführten Befehle:
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
Hat jemand eine Ahnung, was diese Befehle bedeuten und welche Art von Aktion ich auf dem Server ausführen sollte? Soll ich „nmap“ deinstallieren? Wenn ja, wie?
Hinweis:Die IP-Adresse führt irgendwo in Russland nach.
Akzeptierte Antwort:
Die Person hat iptables verwendet um Ihre Firewall-Regeln zu untersuchen, und yum um nmap zu installieren . Dies wurde als root durchgeführt.
nmap ist ein Tool zur Fernuntersuchung des Zustands der Netzwerkfähigkeiten eines anderen Computers, allgemein gesagt.
Es ermöglicht einer Person, offene Ports zu finden und nach Merkmalen eines entfernten Hosts zu scannen und möglicherweise festzustellen, welches Betriebssystem jemand anderes auf seinem Computer verwendet (das ist, was der -O Flag tut dies, und es erfordert Root-Berechtigungen).
Die nmap Utility ist an sich kein gefährliches Tool, aber Sie sollten sich darüber im Klaren sein, dass jemand (den Sie nicht kennen) Zugriff auf das Root-Konto auf Ihrem Computer hatte .
Wenn Sie oder ein anderer legitimer Administrator diese Befehle nicht eingegeben haben, wurde Ihr Computer kompromittiert .
In diesem Fall gehört es Ihnen nicht mehr und Sie können ihm nichts mehr anvertrauen .
Siehe „Wie gehe ich mit einem kompromittierten Server um?“ drüben bei ServerFault. Je nachdem, wer Sie sind und wo Sie sich befinden, sind Sie möglicherweise gesetzlich verpflichtet, dies den Behörden zu melden. Dies ist in Schweden der Fall, wenn Sie in einer staatlichen Behörde (z. B. einer Universität) arbeiten.