Что такое подозрительные команды SSH
Используйте find с xargs:
find / -name "*[0-9]*x*[0-9]*.jpg" | xargs /bin/rm -f
EDIT:
find / -name "*[0-9]x[0-9]*.jpg" | xargs /bin/rm -f
или как предложил 'authur2e5' в комментариях ниже:
find some/dir -name "*[0-9]x[0-9]*.jpg" -delete
Si desea eliminar nmap, puede hacerlo con
yum remove nmap
Esto tendría una utilidad limitada,como si otros pudieran obtener un shell con privilegios administrativos en su máquina, siempre pueden reinstalar cualquier herramienta que deseen.
Según la página del manual para nmap (1 ), la opción -Ohabilita la detección del sistema operativo de la(s) dirección(es) de destino. La opción -sSsolo proporciona pruebas de conexión TCP SYN, y -Ssprobablemente fue solo un error tipográfico del usuario. La intención parece ser usar su máquina para escanear la IP de destino en preparación para futuros ataques.
No hay nada en los comandos enumerados que sea particularmente preocupante excepto que alguien pudo ejecutarlos en su máquina sin su conocimiento , lo que me llevaría a mí a borrar el servidor y realizar una instalación nueva. Al menos debe verificar los registros del sistema para determinar desde dónde se conectó alguien durante el tiempo en que se generó el historial de comandos.
La persona ha utilizado iptablespara investigar las reglas de su cortafuegos y yumpara instalar nmap. Esto se ha hecho como root.
nmapes una herramienta para investigar de forma remota el estado de las capacidades de red de otra máquina, en términos generales.
Le permite a una persona encontrar puertos abiertos y buscar características de un host remoto, y posiblemente determinar qué sistema operativo está usando otra persona en su máquina (Esto es lo que hace el indicador -O, y requiere permisos de root ).
La utilidad nmapno es en sí misma una herramienta peligrosa, pero debe tener en cuenta que alguien (que no conoce)ha tenido acceso a la cuenta raíz de su máquina .
Si usted u otro administrador legítimo no escribieron esos comandos, entonces su máquina ha sido comprometida .
En ese caso, ya no te pertenece y no puedes confiar en nada .
Consulte " ¿Cómo trato con un servidor comprometido? " en ServerFault. Además, dependiendo de quién sea y dónde se encuentre, es posible que tenga la obligación legal de informar esto a las autoridades. Este es el caso en Suecia si trabajas en una agencia estatal (como una universidad, por ejemplo ).
iptables -L -nv
Это выводит конфигурацию вашего брандмауэра.
apt update
yum install nmap
Это устанавливает инструмент nmap, который является мощным сканером портов, очень полезным.
nmap -Ss -O 89.169.183.2
nmap -O 89.169.183.2
Эти команды сканируют компьютер по IP-адресу 89.169.183.2. -Ss ищет открытые порты TCP, а -O пытается идентифицировать операционную систему и версию этого компьютера.
Anyone have any idea what these commands mean and what type of action I should take on the server?
Вам необходимо немедленно связаться с вашим поставщиком услуг хостинга и узнать, несет ли его системный администратор ответственность за выполнение этих команд на вашем сервере. Если они уверены , что это были их действия, вы можете вежливо попросить их сообщать вам в будущем, когда они будут использовать root в вашей системе, но все в порядке.
Если поставщик услуг хостинга сообщает вам, что никто из его сотрудников не выполнял команды от имени пользователя root в вашей системе, вам необходимо сообщить им, что система была взломана, а затем либо заставить их помочь вам восстановить его на заведомо исправную резервную копию, сделанную до того, как система была скомпрометирована, или (предпочтительнее)сжечь ее дотла и восстановить с нуля .
Никогда больше не используйте то, что вы использовали в качестве пароля root в этой системе для чего-либо .