我有一个专用的托管服务器,运行的网站很少。我最近通过终端命令行访问我的服务器,注意到最后执行的几个命令看起来很可疑,我不知道该怎么做。以下是运行的命令列表:
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
任何人都知道这些命令的含义以及我应该在服务器上采取什么类型的操作?我应该卸载“nmap”吗?如果是这样,怎么办?注意:IP 地址可追溯到俄罗斯的某个地方。
答案1
此人曾用于iptables调查您的防火墙规则并yum安装nmap.这是以 root 身份完成的。
nmap从广义上讲,它是一种用于远程调查另一台计算机的网络功能状态的工具。
它允许人们找到开放端口并扫描远程主机的特征,并可能确定其他人在其计算机上使用的操作系统(这就是该-O标志的作用,并且需要 root 权限)。
该nmap实用程序本身并不是一个危险的工具,但您应该意识到有人(您不认识)已有权访问您计算机上的 root 帐户。
如果您或其他合法管理员没有输入这些命令,那么你的机器已被入侵。
在这种情况下,它不再属于你,你不能相信上面的任何东西。
看 ”如何处理受感染的服务器?“在 ServerFault 上。此外,根据您的身份和所在位置,您可能有法律义务向当局报告此情况。在瑞典,如果您在国家机构(例如大学)工作,就是这种情况。
答案2
如果您想删除nmap,可以使用
yum remove nmap
这的实用性有限,就好像其他人能够在您的计算机上获得具有管理权限的 shell 一样,他们总是可以重新安装他们想要的任何工具。
根据手册页nmap(1),该-O选项允许操作系统检测目标地址。该-sS选项仅提供 TCP SYN 连接测试,这-Ss可能只是用户的拼写错误。其目的似乎是使用您的机器扫描目标 IP,为进一步的攻击做准备。
列出的命令中没有什么特别令人不安的除非有人能够在您不知情的情况下在您的计算机上运行它们,这会导致我擦除服务器并执行全新安装。您至少应该检查系统日志以确定在生成命令历史记录期间某人从何处登录。
答案3
iptables -L -nv
这将输出您的防火墙配置。
apt update
yum install nmap
这就安装了nmap这个工具,它是一个强大的端口扫描器,非常有用。
nmap -Ss -O 89.169.183.2
nmap -O 89.169.183.2
这些命令扫描 IP 地址为 89.169.183.2 的计算机。 -Ss 正在寻找开放的 TCP 端口,而 -O 则尝试识别该计算机的操作系统和版本。
任何人都知道这些命令的含义以及我应该在服务器上采取什么类型的操作?
您需要立即联系您的托管服务提供商,看看他们的系统管理员人员是否负责在您的服务器上运行这些命令。如果他们是积极的这是他们做的,你可以很好地要求他们将来在你的系统上使用 root 时通知你,但一切都好。
如果托管服务提供商告诉您,他们的员工没有在您的系统上以root身份执行过命令,您需要通知他们系统被黑客入侵,然后任何一个让他们帮助您将其恢复到系统受到损害之前制作的已知良好的备份,或者(最好)将其烧毁并从头开始重建。
切勿使用您在此系统上使用的 root 密码任何事物, 以后再。