Ho un server di hosting dedicato che ha pochi siti Web in esecuzione. Di recente ho effettuato l'accesso al mio server tramite la riga cmd del terminale e ho notato che gli ultimi comandi eseguiti sembrano sospetti e non sono sicuro di cosa fare. Di seguito è riportato l'elenco dei comandi eseguiti:
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
Qualcuno ha idea di cosa significhino questi comandi e che tipo di azione dovrei intraprendere sul server? Devo disinstallare 'nmap'? In tal caso, come?
Nota:l'indirizzo IP è riconducibile a un luogo in Russia.
Risposta accettata:
La persona ha utilizzato iptables
per esaminare le regole del firewall e yum
per installare nmap
. Questo è stato fatto come root.
nmap
è uno strumento per indagare in remoto lo stato delle capacità di rete di un'altra macchina, in senso lato.
Consente a una persona di trovare porte aperte e di scansionare le caratteristiche di un host remoto e di determinare eventualmente quale sistema operativo sta utilizzando qualcun altro sulla propria macchina (questo è ciò che il -O
flag lo fa e richiede i permessi di root).
La nmap
l'utilità di per sé non è uno strumento pericoloso, ma dovresti essere consapevole che qualcuno (che non conosci) ha avuto accesso all'account di root sul tuo computer .
Se tu o un altro amministratore legittimo non avete digitato quei comandi, allora il vostro computer è stato compromesso .
In tal caso, non ti appartiene più e non puoi fidarti di nulla su di esso .
Vedi "Come faccio a gestire un server compromesso?" su ServerFault. Inoltre, a seconda di chi sei e di dove ti trovi, potresti avere l'obbligo legale di segnalarlo alle autorità. Questo è il caso in Svezia se lavori in un'agenzia statale (come un'università per esempio).