疑わしいSSHコマンドを理解する

その人はiptablesを使用してファイアウォールルールを調査し、yumを使用してnmapをインストールしました。これはrootとして実行されました。

nmapは、大まかに言って、別のマシンのネットワーク機能の状態をリモートで調査するためのツールです。

これにより、開いているポートを見つけてリモートホストの特性をスキャンし、他の誰かが自分のマシンで使用しているオペレーティングシステムを特定できます（これが-Oフラグはあり、root権限が必要です）。

nmapユーティリティ自体は危険なツールではありませんが、誰か（あなたが知らない）があなたのマシンのrootアカウントにアクセスしたことに注意する必要があります。

あなたまたは別の正当な管理者がこれらのコマンドを入力しなかった場合、マシンが危険にさらされています。

その場合、それはもうあなたのものではなく、あなたはそれについて何も信頼することができません。

ServerFaultで「 侵害されたサーバーに対処するにはどうすればよいですか？ 」を参照してください。また、あなたが誰で、どこにいるかによっては、これを当局に報告する法的義務がある場合があります。これは、スウェーデンの州政府機関（大学など）で働いている場合に当てはまります。

nmapを削除したい場合は、

yum remove nmap

他の人があなたのマシンで管理者権限を持つシェルを取得できるかのように、これはユーティリティが制限されます。彼らはいつでも好きなツールを再インストールできます。

nmap（1） のマニュアルページによると、-Oオプションは、ターゲットアドレスのオペレーティングシステム検出を有効にします。 -sSオプションはTCP SYN接続テストのみ、および-Ssはおそらくユーザーによる単なるタイプミスでした。意図は、さらなる攻撃に備えて、マシンを使用してターゲットIPをスキャンすることであるようです。

リストされているコマンドには、特に厄介なものは何もありません誰かがあなたの知らないうちにあなたのマシンでそれらを実行できたことを除いて、それはmeサーバーをワイプし、新規インストールを実行します。少なくともシステムログをチェックして、コマンド履歴が生成されたときに誰かがどこからログインしたかを判断する必要があります。

iptables -L -nv

これにより、ファイアウォール構成が出力されます。

apt update
yum install nmap

これにより、強力なポートスキャナーであるツールnmapがインストールされ、非常に便利です。

nmap -Ss -O 89.169.183.2
nmap -O 89.169.183.2

これらのコマンドは、IPアドレス89.169.183.2でコンピューターをスキャンします。 -Ssは開いているTCPポートを探しており、-Oはそのコンピューターのオペレーティングシステムとバージョンを識別しようとします。

これらのコマンドの意味と、サーバーで実行する必要のあるアクションの種類を知っている人はいますか？

あなたはすぐにあなたのホスティングサービスプロバイダーに連絡して、彼らのsysadminスタッフがあなたのサーバーで実行されているこれらのコマンドに責任があるかどうか見る必要があります。彼らがポジティブである場合は、将来、システムでrootを使用するときに通知するように依頼できますが、すべて問題ありません。 。

Ifホスティングサービスプロバイダーが、システム上でrootとしてコマンドを実行したスタッフがいないことを通知した場合、システムがハッキングされたことを通知する必要があります。その後、どちらか getそれらは、システムが危険にさらされる前に作成された既知の良好なバックアップに復元するのに役立ちます。または（できれば）地面に焼き付けて最初から再構築します。

このシステムのrootパスワードに使用していたものをanythingに使用しないでください。