Mám vyhrazený hostingový server, na kterém běží několik webových stránek. Nedávno jsem přistupoval na svůj server přes řádek cmd terminálu a všiml jsem si, že posledních několik příkazů, které byly provedeny, vypadá podezřele a nejsem si jistý, co mám dělat. Níže je seznam spuštěných příkazů:
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
Má někdo ponětí, co tyto příkazy znamenají a jaký typ akce bych měl na serveru provést? Mám odinstalovat ‚nmap‘? Pokud ano, jak?
Poznámka:Adresa IP vede někam do Ruska.
Přijatá odpověď:
Osoba použila iptables prozkoumat pravidla brány firewall a yum k instalaci nmap . Toto bylo provedeno jako root.
nmap je nástroj pro vzdálené zkoumání stavu síťových schopností jiného stroje, obecně řečeno.
Umožňuje člověku najít otevřené porty a vyhledávat charakteristiky vzdáleného hostitele a případně určit, jaký operační systém na svém počítači používá někdo jiný (to je to, co -O příznak ano a vyžaduje oprávnění root).
nmap nástroj sám o sobě není nebezpečný nástroj, ale měli byste si být vědomi toho, že někdo (koho neznáte) měl přístup k účtu root na vašem počítači .
Pokud jste vy nebo jiný legitimní správce tyto příkazy nezadali, pak váš počítač byl napaden .
V takovém případě už vám nepatří a nemůžete na něm ničemu věřit .
Viz „Jak se vypořádám s napadeným serverem?“ na ServerFault. V závislosti na tom, kdo jste a kde se nacházíte, můžete mít také zákonnou povinnost oznámit to úřadům. To je případ Švédska, pokud pracujete ve státní agentuře (jako je například univerzita).