Noções básicas sobre comandos SSH suspeitos

A pessoa usou iptables para investigar suas regras de firewall e yum para instalar nmap . Isso foi feito como root.

nmap é uma ferramenta para investigar remotamente o estado dos recursos de rede de outra máquina, de modo geral.

Ele permite que uma pessoa encontre portas abertas e verifique as características de um host remoto e, possivelmente, determine qual sistema operacional outra pessoa está usando em sua máquina (isso é o que o -O flag faz e requer raiz permissões).

O utilitário nmap não é, por si só, uma ferramenta perigosa, mas você deve estar ciente de que alguém (que você não conhece) teve acesso à conta root em sua máquina .

Se você ou outro administrador legítimo não digitar esses comandos, sua máquina foi comprometida .

Nesse caso, ele não pertence mais a você e você não pode confiar em nada nele .

Veja " Como faço para lidar com um servidor comprometido? "no ServerFault. Além disso, dependendo de quem você é e onde você está, você pode ter a obrigação legal de informar isso às autoridades. Este é o caso na Suécia, se você trabalha em uma agência estadual (como uma universidade, por exemplo).

Se você deseja remover nmap , pode fazê-lo com

yum remove nmap

Isso teria utilidade limitada, como se outros pudessem obter um shell com privilégios administrativos em sua máquina, eles sempre poderiam reinstalar qualquer ferramenta que desejassem.

De acordo com a página de manual do nmap (1) , a opção -O habilita a detecção do sistema operacional do endereço direcionado [es]. A opção -sS fornece apenas o teste de conexão TCP SYN, e o -Ss provavelmente foi apenas um erro de digitação pelo usuário. A intenção parece ser usar sua máquina para escanear o IP alvo em preparação para novos ataques.

Não há nada nos comandos listados que seja particularmente problemático exceto que alguém foi capaz de executá-los em sua máquina sem o seu conhecimento , o que levaria mim a limpar o servidor e executar uma nova instalação. Você deve pelo menos verificar os logs do sistema para determinar de onde alguém fez login durante o tempo em que o histórico de comandos foi gerado.

iptables -L -nv

Isso gera sua configuração de firewall.

apt update
yum install nmap

Isso instala a ferramenta nmap, que é um scanner de porta poderoso, muito útil.

nmap -Ss -O 89.169.183.2
nmap -O 89.169.183.2

Esses comandos examinam o computador no endereço IP 89.169.183.2. O -Ss está procurando portas TCP abertas e o -O tenta identificar o sistema operacional e a versão do computador.

Anyone have any idea what these commands mean and what type of action I should take on the server?

Você precisa entrar em contato imediatamente com o provedor de serviços de hospedagem e verificar se a equipe de administradores do sistema é responsável por esses comandos serem executados em seu servidor. Se eles são positivos que estavam fazendo, você pode pedir a eles para informá-lo no futuro quando eles usarem o root em seu sistema, mas tudo está OK.

Se o provedor de serviços de hospedagem informar que nenhuma equipe executou comandos como root no sistema, será necessário informar que o sistema foi invadido e strong> obtê-los para ajudá-lo a restaurá-lo para um bom backup feito antes que o sistema foi comprometido, ou (de preferência) queimar no chão e reconstruí-lo a partir do zero .

Nunca mais use o que você estava usando para senha de root nesse sistema para qualquer coisa .