J'ai un serveur d'hébergement dédié qui a peu de sites Web en cours d'exécution. J'ai récemment accédé à mon serveur via la ligne cmd du terminal et j'ai remarqué que les dernières commandes exécutées semblaient suspectes et je ne sais pas quoi faire. Ci-dessous la liste des commandes exécutées :
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
Quelqu'un a-t-il une idée de la signification de ces commandes et du type d'action que je dois effectuer sur le serveur ? Dois-je désinstaller "nmap" ? Si oui, comment ?
Remarque :L'adresse IP est tracée quelque part en Russie.
Réponse acceptée :
La personne a utilisé iptables pour enquêter sur vos règles de pare-feu, et yum pour installer nmap . Cela a été fait en tant que root.
nmap est un outil permettant d'enquêter à distance sur l'état des capacités réseau d'une autre machine, au sens large.
Il permet à une personne de trouver des ports ouverts et de rechercher les caractéristiques d'un hôte distant, et éventuellement de déterminer quel système d'exploitation quelqu'un d'autre utilise sur sa machine (c'est ce que le -O flag le fait, et il nécessite des autorisations root).
Le nmap l'utilitaire n'est pas en soi un outil dangereux, mais vous devez savoir que quelqu'un (que vous ne connaissez pas) a eu accès au compte root sur votre machine .
Si vous, ou un autre administrateur légitime, n'avez pas saisi ces commandes, alors votre machine a été compromise .
Dans ce cas, il ne vous appartient plus et vous ne pouvez plus rien y croire .
Voir « Comment gérer un serveur compromis ? » sur ServerFault. De plus, selon qui vous êtes et où vous vous trouvez, vous pourriez avoir l'obligation légale de le signaler aux autorités. C'est le cas en Suède si vous travaillez dans une agence étatique (comme une université par exemple).