如何找出哪个进程或程序改变了 IPtables(删除了它的一个链)?
我运行 Fedora 23 服务器。我使用它和其他工具来共享 Internet 连接并实施公平、动态的流量整形。最后我使用 Niceshaper。它将自己的链添加到 IPtables。
最近我发现我的服务器被入侵了。它被用作 IPv6 上的 DNS 服务器。IP6tables 已更改。我已清除所有。已证明所有 /etc/ 设置均未修改。验证所有已安装的软件包并证明它们均未修改。
不幸的是,还是有问题。尽管服务器配置几个月都没变,Niceshaper 也运行正常,但现在检测到 ns_upload 链被删除后,它就开始退出了。
我想找出哪个工序可以拆除链条并进行修复。
我将非常感谢你的帮助。
答案1
您给出了最重要的提示:您的服务器已被入侵。因此,请点击 Michael Kjörling 给您的链接。然后按照那里的说明操作。
TLDR:有人拥有您服务器的 root 访问权限 - 证据:他们更改了 iptables 条目。因此,找出他们是如何做到的,从头开始安装,并避免使用他们用来控制您服务器的配置/软件。没有机会避免:您必须从头开始安装。抱歉。
如果你不知道他们是怎么做到的,那你就有点迷茫了。他们很快就会回来,即使是在全新安装的情况下。至少安装一个较新版本的 Fedora - 希望他们入侵的后门/漏洞已经修复。