Saya memiliki server hosting khusus yang menjalankan beberapa situs web. Saya baru-baru ini mengakses server saya melalui baris terminal cmd dan memperhatikan bahwa beberapa perintah terakhir yang dijalankan terlihat mencurigakan dan saya tidak yakin apa yang harus dilakukan. Di bawah ini adalah daftar perintah yang dijalankan:
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
Adakah yang tahu apa arti perintah ini dan jenis tindakan apa yang harus saya ambil di server? Haruskah saya menghapus 'nmap'? Jika demikian, bagaimana caranya?
Catatan:Alamat IP terlacak ke suatu tempat di Rusia.
Jawaban yang Diterima:
Orang tersebut telah menggunakan iptables untuk menyelidiki aturan firewall Anda, dan yum untuk menginstal nmap . Ini telah dilakukan sebagai root.
nmap adalah alat untuk menyelidiki status kemampuan jaringan komputer lain dari jarak jauh.
Ini memungkinkan seseorang untuk menemukan port terbuka dan memindai karakteristik host jarak jauh, dan mungkin menentukan sistem operasi apa yang digunakan orang lain pada mesin mereka (inilah -O flag tidak, dan itu membutuhkan izin root).
nmap utilitas itu sendiri bukanlah alat yang berbahaya, tetapi Anda harus menyadari bahwa seseorang (yang tidak Anda ketahui) memiliki akses ke akun root di mesin Anda .
Jika Anda, atau admin sah lainnya, tidak mengetikkan perintah tersebut, maka mesin Anda telah disusupi .
Dalam hal ini, itu bukan milik Anda lagi dan Anda tidak dapat mempercayai apa pun di atasnya .
Lihat “Bagaimana cara menangani server yang disusupi?” di ServerFault. Juga, tergantung pada siapa Anda dan di mana Anda berada, Anda mungkin memiliki kewajiban hukum untuk melaporkan hal ini kepada pihak berwenang. Ini adalah kasus di Swedia jika Anda bekerja di lembaga negara (seperti universitas misalnya).