나는 소수의 웹사이트를 운영하는 전용 호스팅 서버를 가지고 있습니다. 최근에 터미널 명령줄을 통해 내 서버에 액세스했는데 마지막으로 실행된 몇 가지 명령이 의심스러워 보였고 어떻게 해야 할지 몰랐습니다. 실행되는 명령 목록은 다음과 같습니다.
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
이 명령의 의미와 서버에서 어떤 조치를 취해야 하는지 아는 사람이 있나요? "nmap"을 제거해야 합니까? 그렇다면 어떻게 해야 할까요? 참고: IP 주소는 러시아 어딘가로 추적될 수 있습니다.
답변1
iptables
이 사람은 방화벽 규칙을 조사하고 yum
설치하는 데 사용되었습니다 nmap
. 이 작업은 루트로 수행되었습니다.
nmap
광범위하게 말하면 다른 컴퓨터의 네트워크 기능 상태를 원격으로 조사하는 도구입니다.
이를 통해 열려 있는 포트를 찾고 원격 호스트의 특성을 검색하고 다른 사람이 자신의 컴퓨터에서 사용하고 있는 운영 체제를 확인할 수 있습니다(이 -O
플래그가 수행하는 작업이며 루트 권한이 필요합니다).
유틸리티 nmap
자체는 위험한 도구는 아니지만, 누군가(당신이 모르는 사람)가이미 컴퓨터의 루트 계정에 액세스할 수 있습니다..
귀하 또는 다른 합법적인 관리자가 이러한 명령을 입력하지 않으면귀하의 컴퓨터가 손상되었습니다.
이 경우,그것은 더 이상 당신의 것이 아니며 당신은 그것에 관한 어떤 것도 믿을 수 없습니다.
바라보다"감염된 서버를 처리하는 방법은 무엇입니까?"ServerFault에 대해. 또한 귀하의 신원과 위치에 따라 이를 당국에 신고해야 할 법적 의무가 있을 수 있습니다. 스웨덴에서는 대학과 같은 주립 기관에서 근무하는 경우에 해당됩니다.
답변2
삭제하고 싶다면 nmap
다음을 사용할 수 있습니다.
yum remove nmap
이는 유용성이 제한되어 있습니다. 마치 다른 사람이 귀하의 컴퓨터에 대한 관리 권한이 있는 셸을 얻을 수 있으면 언제든지 원하는 도구를 다시 설치할 수 있기 때문입니다.
매뉴얼 페이지에 따르면nmap(1), 이 -O
옵션을 사용하면 운영 체제가 대상 주소를 감지할 수 있습니다. 이 옵션은 단지 사용자 측의 오타일 수 있는 -sS
TCP SYN 연결 테스트만 제공합니다 . -Ss
그 목적은 추가 공격에 대비하여 컴퓨터를 사용하여 대상 IP를 검색하는 것으로 보입니다.
나열된 명령에 대해 특별히 방해되는 것은 없습니다.누군가가 당신이 모르는 사이에 당신의 컴퓨터에서 이를 실행할 수 없다면, 그 결과나서버를 닦고 새로 설치를 수행합니다. 최소한 시스템 로그를 확인하여 명령 기록이 생성된 동안 누군가 로그인한 위치를 확인해야 합니다.
답변3
iptables -L -nv
그러면 방화벽 구성이 출력됩니다.
apt update
yum install nmap
그러면 강력한 포트 스캐너이자 매우 유용한 nmap 도구가 설치됩니다.
nmap -Ss -O 89.169.183.2
nmap -O 89.169.183.2
이 명령은 IP 주소가 89.169.183.2인 컴퓨터를 검색합니다. -Ss는 열려 있는 TCP 포트를 찾고, -O는 컴퓨터의 운영 체제와 버전을 식별하려고 시도합니다.
이 명령의 의미와 서버에서 어떤 조치를 취해야 하는지 아는 사람이 있나요?
호스팅 공급자에게 즉시 연락하여 시스템 관리자 직원이 서버에서 이러한 명령을 실행하는지 확인해야 합니다. 그렇다면긍정적인이것이 그들이 하는 일입니다. 나중에 시스템에서 루트가 사용될 때 알려달라고 요청할 수 있지만 모든 것이 정상입니다.
만약에호스팅 공급자는 직원이 시스템에서 루트로 명령을 실행하지 않았으므로 시스템이 해킹되었음을 알려야 한다고 말합니다.누구나시스템이 손상되기 전에 만들어진 양호한 백업으로 복원하는 데 도움을 받거나 (바람직하게는)불태워서 처음부터 다시 쌓아라.
이 시스템에서 사용한 루트 비밀번호를 절대 사용하지 마십시오아무것, 나중에.