実行中のWebサイトがほとんどない専用ホスティングサーバーがあります。最近、ターミナルのcmd行からサーバーにアクセスしましたが、最後に実行されたいくつかのコマンドが疑わしいようで、どうすればよいかわかりません。実行されたコマンドのリストは次のとおりです。
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
これらのコマンドの意味と、サーバーで実行する必要のあるアクションの種類を知っている人はいますか? 「nmap」をアンインストールする必要がありますか?もしそうなら、どのように?
注:IPアドレスはロシアのどこかにトレースされます。
承認された回答:
その人はiptablesを使用しました ファイアウォールルールを調査し、yum nmapをインストールするには 。これはルートとして実行されました。
nmap 大まかに言えば、別のマシンのネットワーク機能の状態をリモートで調査するためのツールです。
これにより、開いているポートを見つけてリモートホストの特性をスキャンし、他の誰かが自分のマシンで使用しているオペレーティングシステムを特定できます(これが-Oです。 フラグはあり、root権限が必要です。
nmap ユーティリティ自体は危険なツールではありませんが、誰か(あなたが知らない)があなたのマシンのrootアカウントにアクセスしたことを知っておく必要があります 。
あなたまたは別の正当な管理者がこれらのコマンドを入力しなかった場合は、マシンが侵害されています 。
その場合、それはもうあなたのものではなく、あなたはそれについて何も信頼できません 。
「侵害されたサーバーに対処するにはどうすればよいですか?」を参照してください。 ServerFaultで。また、あなたが誰であるか、そしてあなたがどこにいるかによっては、これを当局に報告する法的義務があるかもしれません。これは、スウェーデンの州政府機関(大学など)で働いている場合に当てはまります。