疑わしいSSHコマンドについて学ぶ

疑わしいSSHコマンドについて学ぶ

私は少数のウェブサイトを運営する専用のホスティングサーバーを持っています。私は最近ターミナルコマンドラインを介して私のサーバーにアクセスしましたが、最後に実行されたいくつかのコマンドが疑わしく見え、どうしたらいいかわかりませんでした。実行されるコマンドのリストは次のとおりです。

iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2

このコマンドの意味とサーバーでどのような措置を取るべきかを知っている人はいますか? "nmap"を削除する必要がありますか?それでは、どうすればいいですか?注:IPアドレスはロシアのどこかに追跡できます。

答え1

iptablesこの人はファイアウォールの規則を調査してインストールするyumために使用されましたnmap。これはrootとして行われました。

nmap広く言えば、他のコンピュータのネットワーク機能の状態をリモートで調べるツールです。

これにより、開いているポートを見つけてリモートホストの属性を検索し、他の人が自分のコンピュータで使用しているオペレーティングシステムを確認できます(このフラグが-O実行する操作であり、root権限が必要です)。

ユーティリティnmap自体は危険なツールではありませんが、誰か(あなたが知らない人)すでにコンピュータのルートアカウントにアクセスできます。

あなたまたは他の正当な管理者がこれらのコマンドを入力しない場合お使いのコンピュータが破損しています

この場合、それはもはやあなたのものではなく、あなたはそれについて何も信じられない

望むより」感染したサーバーを処理する方法は?「ServerFaultについて。また、あなたの身元と場所に応じて当局に報告する必要がある法的義務があるかもしれません。スウェーデンでは、大学などの州の機関で働いている場合にも当てはまります。

答え2

削除したい場合は、nmap次のものを使用できます。

yum remove nmap

これは有用性が制限されています。他のユーザーが自分のコンピュータの管理権限を持つシェルを取得できる場合は、いつでも必要なツールを再インストールできます。

マニュアルページによるとnmap(1)、この-Oオプションを使用すると、オペレーティングシステムは宛先アドレスを検出できます。このオプションは、ユーザー側の誤ったタイプの-sSTCP SYN接続テストのみを提供します。-Ssその目的は、追加の攻撃に備えてコンピュータを使用してターゲットIPを取得するようです。

リストされたコマンドに対して特に妨げられるものはありません。誰かがあなたが知らない間にあなたのコンピュータでこれを実行することができない場合、その結果サーバーを拭いて、新規インストールを実行します。少なくともシステムログを確認して、コマンド履歴が生成されている間に誰かがログインした場所を確認する必要があります。

答え3

iptables -L -nv

これによりファイアウォール構成が出力されます。

apt update
yum install nmap

これにより、強力なポートスキャナであり、非常に便利なnmapツールがインストールされます。

nmap -Ss -O 89.169.183.2
nmap -O 89.169.183.2

このコマンドは、IPアドレスが89.169.183.2のコンピュータを検索します。 -Ssは開いているTCPポートを探し、-Oはコンピュータのオペレーティングシステムとバージョンを識別しようとします。

このコマンドの意味とサーバーでどのような措置を取るべきかを知っている人はいますか?

ホスティングプロバイダにすぐに連絡して、システム管理者の従業員がサーバーでこれらのコマンドを実行していることを確認する必要があります。もしそうならポジティブこれが彼らがすることです。後でシステムでルートが使用されたときに通知するように要求できますが、すべてが正常です。

もしホスティングプロバイダは、従業員がシステムからrootとしてコマンドを実行していないため、システムがハッキングされたことを知らせる必要があると言います。誰でもシステムが破損する前に作成された良好なバックアップに復元するのに役立つか(好ましくは)燃えてから最初から積み重ね

このシステムで使用したルートパスワードを絶対に使用しないでください。何もない、後で。

関連情報