如何找出哪个进程或程序更改IPtables(删除它的一个链)?
我运行Fedora 23服务器。 我使用它和其他人共享互联网连接,并实施公平,dynamic的stream量整形。 最后我用Niceshaper。 它增加了IPtables的链。
最近我发现我的服务器被入侵了。 它被用作IPv6上的DNS服务器。 IP6表被改变了。 我清除了所有。 certificate所有的/ etc /设置是未修改的。 validation所有安装的软件包,并certificate它们是未修改的。
不幸的是还有一些错误。 尽pipe事实上服务器的configuration几个月没有改变,Niceshaper工作正常,但是在检测到ns_upload链被移除后,它现在开始退出。
我想找出哪个进程删除链来修复它。
我会感谢你的帮助。
您已经给出了最重要的提示:您的服务器已被入侵。 所以按照MichaelKjörling给你的链接。 并按照说明那里。
TLDR:有人可以访问你的服务器 – certificate:他们改变了一个iptables条目。 因此,了解他们是如何做到的,从头开始安装,避免他们用来控制服务器的configuration/软件。 没有机会避免它:你必须从头安装。 抱歉。
如果你不明白,他们是怎么做到的,你有点失落。 他们很快就会回来,即使是全新安装。 至less安装一个较新版本的Fedora – 希望他们进来的后门/ bug是同时修复的。