แก้ไข 2 :
มีเหตุผลหนึ่งที่ดีว่าทำไมโพสต์นี้ดึงดูดความสนใจมาก: คุณจัดการบันทึกทั้งหมดเซสชันสดของผู้บุกรุกบนพีซีของคุณ นี่แตกต่างอย่างมากจากประสบการณ์ในชีวิตประจำวันของเราที่เราจัดการกับการค้นพบผลที่ตามมาจากการกระทำของเขาและพยายามแก้ไขพวกเขา ที่นี่เราเห็นเขาในที่ทำงานเห็นเขามีปัญหาบางอย่างกับการสร้างแบ็คดอร์, ย้อนกลับขั้นตอนของเขาทำงานอย่างมีไข้ (อาจเป็นเพราะเขากำลังนั่งอยู่ที่โต๊ะทำงานของคุณตามที่แนะนำข้างต้นหรือบางทีและในความคิดของฉัน ไม่สามารถทำให้มัลแวร์ของเขาทำงานบนระบบอ่านด้านล่าง) และพยายามปรับใช้เครื่องมือควบคุมแบบครบวงจร นี่คือสิ่งที่นักวิจัยด้านความปลอดภัยเป็นสักขีพยานในชีวิตประจำวันของพวกเขากับดักน้ำผึ้ง สำหรับฉันนี่เป็นโอกาสที่หายากมากและเป็นที่มาของความบันเทิง
คุณถูกแฮ็คอย่างแน่นอน หลักฐานนี้ไม่ได้มาจากตัวอย่างของauth.logไฟล์ที่คุณแสดงเพราะรายงานความพยายามในการเข้าสู่ระบบไม่สำเร็จซึ่งเกิดขึ้นในช่วงเวลาสั้น ๆ (สองวินาที) คุณจะสังเกตเห็นว่าบรรทัดที่สองระบุFailed passwordในขณะที่สามรายงานการpre-authเชื่อมต่อ: คนพยายามและล้มเหลว
หลักฐานมาจากเนื้อหาของไฟล์ทั้งสอง http://222.186.30.209:65534/yjzและhttp://222.186.30.209:65534/yjz1ผู้โจมตีดาวน์โหลดลงระบบของคุณ
ไซต์นี้เปิดให้ทุกคนดาวน์โหลดได้ซึ่งฉันทำ ฉันวิ่งไปfileที่พวกเขาครั้งแรกซึ่งแสดงให้เห็นว่า:
$ file y*
yjz: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
yjz1: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped
จากนั้นฉันก็นำมันไปสู่ Debian VM 64 บิตที่ฉันมี การตรวจสอบเนื้อหาของพวกเขาผ่านstringsคำสั่งเผยให้เห็นมากว่าน่าสงสัย (อ้างอิงถึงการโจมตีที่รู้จักกันดีต่างๆเพื่อคำสั่งที่จะใช้แทนสคริปต์ที่ใช้ชัดเจนในการตั้งค่าบริการใหม่และอื่น ๆ )
จากนั้นฉันสร้างแฮช MD5 ของไฟล์ทั้งสองและส่งไปยังฐานข้อมูลแฮชของ Cymruเพื่อดูว่าพวกเขารู้จักเอเจนต์ของมัลแวร์หรือไม่ ในขณะที่yjzไม่yjz1เป็นอยู่และ Cymru รายงานความน่าจะเป็นของการตรวจจับโดยซอฟต์แวร์ป้องกันไวรัส 58% นอกจากนี้ยังระบุว่าไฟล์นี้มีการเห็นล่าสุดเมื่อสามวันที่ผ่านมาดังนั้นจึงเป็นเหตุผลล่าสุด
การเรียกใช้clamscan (ส่วนหนึ่งของclamavแพ็คเกจ) ในสองไฟล์ที่ฉันได้รับ:
$ clamscan y*
yjz: Linux.Backdoor.Gates FOUND
yjz1: Linux.Trojan.Xorddos FOUND
ตอนนี้เรามั่นใจแล้วว่าซอฟต์แวร์มาตรฐานของ Linux สามารถระบุได้
คุณควรทำอะไร?
แม้ว่าจะค่อนข้างใหม่ระบบไม่เป็นใหม่มากเห็นนี้มกราคม 2015 บทความเกี่ยวกับ XorDdosตัวอย่างเช่น แพ็คเกจฟรีส่วนใหญ่ควรจะสามารถลบออกได้ clamavคุณควรลอง: rkhunter, chkrootkit, ฉันได้ Googled ไปรอบ ๆ และเห็นว่าพวกเขาอ้างว่าสามารถมองเห็นได้ ใช้พวกเขาเพื่อตรวจสอบการทำงานของรุ่นก่อน แต่หลังจากรันโปรแกรมทั้งสามนี้แล้วคุณควรพร้อมใช้งาน
สำหรับคำถามที่ใหญ่กว่าwhat should you do to prevent future infectionsคำตอบของ Journeyman เป็นก้าวแรกที่ดี เพียงจำไว้ว่ามันเป็นการดิ้นรนอย่างต่อเนื่องสิ่งที่พวกเราทุกคน (รวมถึงฉัน!) อาจจะสูญเสียไปโดยที่ไม่รู้ตัว
แก้ไข :
ที่พรอมต์ของ Viktor Toth (ทางอ้อม) ฉันต้องการเพิ่มความคิดเห็น เป็นเรื่องจริงที่ผู้บุกรุกจะพบกับปัญหา: เขาดาวน์โหลดเครื่องมือแฮ็กสองตัวที่แตกต่างกันเปลี่ยนการอนุญาตหลาย ๆ ครั้งรีสตาร์ทหลายครั้งและลองหลายครั้งเพื่อปิดไฟร์วอลล์ มันง่ายที่จะเดาว่าเกิดอะไรขึ้น: เขาคาดหวังว่าเครื่องมือแฮ็คของเขาจะเปิดช่องทางการสื่อสารไปยังหนึ่งในพีซีที่ติดเชื้อของเขา (ดูในภายหลัง) และเมื่อเขาไม่เห็นช่องทางใหม่นี้เกิดขึ้นบน GUI ควบคุมของเขา เครื่องมือกำลังถูกบล็อกโดยไฟร์วอลล์ดังนั้นเขาจึงทำซ้ำขั้นตอนการติดตั้ง ฉันเห็นด้วยกับ Viktor Toth ว่าระยะนี้ของการผ่าตัดของเขาดูเหมือนจะไม่นำผลไม้ที่คาดหวังมาให้ แต่ฉันอยากจะสนับสนุนคุณอย่างมาก ไม่ดูถูกดูแคลนขอบเขตของความเสียหายที่บาดแผลบนพีซีของคุณ
ฉันให้ผลลัพธ์บางส่วนที่นี่strings yjz1:
etc/init.d/%s
/etc/rc%d.d/S90%s
--del
chkconfig
remove
update-rc.d
/etc/cron.hourly/gcc4.sh
/etc/rc.d/rc%d.d/S90%s
--add
defaults
/proc/%d/exe
/proc/self/exe
HOME=/
MYSQL_HISTFILE=/dev/null
#!/bin/sh
# chkconfig: 12345 90 90
# description: %s
### BEGIN INIT INFO
# Provides: %s
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: %s
### END INIT INFO
case $1 in
start)
stop)
esac
sed -i '/\/etc\/cron.hourly\/gcc4.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc4.sh' >> /etc/crontab
etc/init.d/%s
GET %s HTTP/1.1
%sHost: %s
POST %s HTTP/1.1
%sHost: %s
Content-Type: application/x-www-form-urlencoded
Content-Length: %d
%s%s
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; TencentTraveler ; .NET CLR 1.1.4322)
Connection: Keep-Alive
สิ่งนี้แสดงหลักฐานของการแก้ไขดัดแปลงบริการ (ใน/etc/init.dและใน/etc/rc.d) พร้อมcrontabกับไฟล์ประวัติของmysqlและไฟล์สองสามไฟล์procที่เป็นลิงก์ไปยังbash(ซึ่งแนะนำรุ่นของเชลล์ที่คุณทำขึ้นมาโดยฉ้อโกง) จากนั้นโปรแกรมจะสร้างคำขอ HTTP (ไปยังไซต์ที่พูดภาษาจีน
Accept-Language: zh-cn
ซึ่งให้ความสำคัญกับความคิดเห็นของ David Schwartz ด้านบน) ซึ่งอาจสร้างความเสียหายได้มากขึ้น ในคำขอContent-Type: application/x-www-form-urlencodedจะต้องดาวน์โหลดไบนารี ( ) ไปยังพีซีที่ถูกโจมตี (GET) และอัปโหลดไปยังเครื่องควบคุม (POST) ฉันไม่สามารถสร้างสิ่งที่จะถูกดาวน์โหลดไปยังพีซีที่ถูกโจมตี แต่ด้วยขนาดที่เล็กของทั้งสองyjzและyjz1(1.1MB และ 600kB, repectively) ฉันสามารถเสี่ยงที่จะคาดเดาว่าไฟล์ส่วนใหญ่ที่จำเป็นในการซ่อนรูทคิทเช่นการเปลี่ยนแปลง รุ่นls, netstat, ps, ifconfig, ... , จะได้รับการดาวน์โหลดด้วยวิธีนี้ และนี่จะอธิบายถึงความพยายามของผู้โจมตีที่จะทำให้การดาวน์โหลดนี้ดำเนินต่อไป
ไม่มีความมั่นใจว่าสิ่งที่กล่าวมาหมดความเป็นไปได้ทั้งหมด: แน่นอนเราขาดส่วนหนึ่งของการถอดเสียง (ระหว่างบรรทัด 457 ถึง 481) และเราไม่เห็นการออกจากระบบ นอกจากนี้โดยเฉพาะอย่างยิ่งที่น่าเป็นห่วงคือเส้น 495-497
cd /tmp; ./yd_cd/make
ซึ่งอ้างถึงไฟล์ที่เราไม่เห็นดาวน์โหลดและซึ่งอาจเป็นการรวบรวม: ถ้าเป็นเช่นนั้นก็หมายความว่าผู้โจมตีได้ (ในที่สุด?) เข้าใจว่าปัญหากับ executables ของเขาคืออะไรและพยายามที่จะแก้ไขมันในกรณีที่ โจมตีพีซีได้หายดี [อันที่จริงมัลแวร์สองเวอร์ชันที่ผู้โจมตีดาวน์โหลดลงบนเครื่องที่ถูกแฮ็ก (และฉันลงบน 64 บิต Debian VM ของฉัน) สำหรับสถาปัตยกรรมที่ไม่เหมาะสมคือ x86 ในขณะที่ชื่อเพียงอย่างเดียวของพีซีที่ถูกแฮ็กเข้านั้น เขากำลังจัดการกับสถาปัตยกรรมแขน]
เหตุผลที่ฉันเขียนการแก้ไขนี้เพื่อกระตุ้นให้คุณอย่างมากที่สุดเท่าที่จะทำได้เพื่อหวีระบบของคุณด้วยเครื่องมือระดับมืออาชีพหรือติดตั้งใหม่ตั้งแต่ต้น
และโดยวิธีการนี้ควรพิสูจน์ว่ามีประโยชน์กับทุกคนนี่คือรายการของที่อยู่ IP 331ที่yjzพยายามเชื่อมต่อ รายการนี้มีขนาดใหญ่เพื่อ (และอาจจะลิขิตให้กลายเป็นใหญ่ยังคง) mysqlที่ผมเชื่อว่านี่คือเหตุผลสำหรับการปลอมแปลงด้วย รายการที่จัดทำโดยแบ็คดอร์คนอื่นนั้นเหมือนกันซึ่งฉันคิดว่าเป็นเหตุผลที่ทำให้ข้อมูลสำคัญชิ้นนั้นอยู่ในที่โล่ง (ฉันคิดว่าผู้โจมตีไม่ต้องการเก็บไว้ในรูปแบบเคอร์เนลดังนั้น เขาใส่รายชื่อทั้งหมดลงในไฟล์ข้อความที่ชัดเจนซึ่งน่าจะอ่านโดยแบ็คดอร์ทั้งหมดของเขาไม่ว่าระบบปฏิบัติการใดก็ตาม):
61.132.163.68
202.102.192.68
202.102.213.68
202.102.200.101
58.242.2.2
202.38.64.1
211.91.88.129
211.138.180.2
218.104.78.2
202.102.199.68
202.175.3.3
202.175.3.8
202.112.144.30
61.233.9.9
61.233.9.61
124.207.160.110
202.97.7.6
202.97.7.17
202.106.0.20
202.106.46.151
202.106.195.68
202.106.196.115
202.106.196.212
202.106.196.228
202.106.196.230
202.106.196.232
202.106.196.237
202.112.112.10
211.136.17.107
211.136.28.231
211.136.28.234
211.136.28.237
211.147.6.3
219.141.136.10
219.141.140.10
219.141.148.37
219.141.148.39
219.239.26.42
221.130.32.100
221.130.32.103
221.130.32.106
221.130.32.109
221.130.33.52
221.130.33.60
221.176.3.70
221.176.3.73
221.176.3.76
221.176.3.79
221.176.3.83
221.176.3.85
221.176.4.6
221.176.4.9
221.176.4.12
221.176.4.15
221.176.4.18
221.176.4.21
58.22.96.66
218.104.128.106
202.101.98.55
211.138.145.194
211.138.151.161
211.138.156.66
218.85.152.99
218.85.157.99
222.47.29.93
202.101.107.85
119.233.255.228
222.47.62.142
122.72.33.240
211.98.121.27
218.203.160.194
221.7.34.10
61.235.70.98
113.111.211.22
202.96.128.68
202.96.128.86
202.96.128.166
210.21.3.140
210.21.4.130
211.95.193.97
211.98.2.4
211.98.4.1
211.162.61.225
211.162.61.235
211.162.61.255
211.162.62.1
211.162.62.60
221.4.66.66
202.103.176.22
202.96.144.47
210.38.192.33
202.96.134.33
202.96.134.133
202.96.154.15
210.21.196.6
221.5.88.88
202.103.243.112
202.193.64.33
61.235.164.13
61.235.164.18
202.103.225.68
221.7.136.68
202.103.224.68
211.97.64.129
211.138.240.100
211.138.242.18
211.138.245.180
221.7.128.68
222.52.118.162
202.98.192.67
202.98.198.167
211.92.136.81
211.139.1.3
211.139.2.18
202.100.192.68
211.97.96.65
211.138.164.6
221.11.132.2
202.100.199.8
202.99.160.68
202.99.166.4
202.99.168.8
222.222.222.222
202.102.224.68
202.102.227.68
222.85.85.85
222.88.88.88
210.42.241.1
202.196.64.1
112.100.100.100
202.97.224.68
219.235.127.1
61.236.93.33
211.93.24.129
211.137.241.34
219.147.198.230
202.103.0.68
202.103.0.117
202.103.24.68
202.103.44.150
202.114.0.242
202.114.240.6
211.161.158.11
211.161.159.3
218.104.111.114
218.104.111.122
218.106.127.114
218.106.127.122
221.232.129.30
59.51.78.210
61.234.254.5
202.103.96.112
219.72.225.253
222.243.129.81
222.246.129.80
211.142.210.98
211.142.210.100
220.168.208.3
220.168.208.6
220.170.64.68
218.76.192.100
61.187.98.3
61.187.98.6
202.98.0.68
211.93.64.129
211.141.16.99
202.98.5.68
219.149.194.55
211.138.200.69
202.102.3.141
202.102.3.144
58.240.57.33
112.4.0.55
114.114.114.114
114.114.115.115
202.102.24.34
218.2.135.1
221.6.4.66
221.131.143.69
202.102.8.141
222.45.0.110
61.177.7.1
218.104.32.106
211.103.13.101
221.228.255.1
61.147.37.1
222.45.1.40
58.241.208.46
202.102.9.141
202.102.7.90
202.101.224.68
202.101.226.68
211.141.90.68
211.137.32.178
202.96.69.38
211.140.197.58
219.149.6.99
202.96.86.18
101.47.189.10
101.47.189.18
118.29.249.50
118.29.249.54
202.96.64.68
202.96.75.68
202.118.1.29
202.118.1.53
219.148.204.66
202.99.224.8
202.99.224.67
211.90.72.65
211.138.91.1
218.203.101.3
202.100.96.68
211.93.0.81
222.75.152.129
211.138.75.123
202.102.154.3
202.102.152.3
219.146.1.66
219.147.1.66
202.102.128.68
202.102.134.68
211.138.106.19
211.90.80.65
202.99.192.66
202.99.192.68
61.134.1.4
202.117.96.5
202.117.96.10
218.30.19.40
218.30.19.50
116.228.111.118
180.168.255.18
202.96.209.5
202.96.209.133
202.101.6.2
211.95.1.97
211.95.72.1
211.136.112.50
211.136.150.66
119.6.6.6
124.161.97.234
124.161.97.238
124.161.97.242
61.139.2.69
202.98.96.68
202.115.32.36
202.115.32.39
218.6.200.139
218.89.0.124
61.139.54.66
61.139.39.73
139.175.10.20
139.175.55.244
139.175.150.20
139.175.252.16
168.95.1.1
210.200.211.193
210.200.211.225
211.78.130.1
61.31.1.1
61.31.233.1
168.95.192.1
168.95.192.174
61.60.224.3
61.60.224.5
202.113.16.10
202.113.16.11
202.99.96.68
202.99.104.68
211.137.160.5
211.137.160.185
219.150.32.132
202.98.224.68
211.139.73.34
61.10.0.130
61.10.1.130
202.14.67.4
202.14.67.14
202.45.84.58
202.45.84.67
202.60.252.8
202.85.128.32
203.80.96.9
203.142.100.18
203.142.100.21
203.186.94.20
203.186.94.241
221.7.1.20
61.128.114.133
61.128.114.166
218.202.152.130
61.166.150.123
202.203.128.33
211.98.72.7
211.139.29.68
211.139.29.150
211.139.29.170
221.3.131.11
222.172.200.68
61.166.150.101
61.166.150.139
202.203.144.33
202.203.160.33
202.203.192.33
202.203.208.33
202.203.224.33
211.92.144.161
222.221.5.240
61.166.25.129
202.96.103.36
221.12.1.227
221.130.252.200
222.46.120.5
202.96.96.68
218.108.248.219
218.108.248.245
61.130.254.34
60.191.244.5
202.96.104.15
202.96.104.26
221.12.33.227
202.96.107.27
61.128.128.68
61.128.192.68
218.201.17.2
221.5.203.86
221.5.203.90
221.5.203.98
221.7.92.86
221.7.92.98
รหัสต่อไปนี้
#!/bin/bash
echo 0 > out
while read i; do
whois $i | grep -m 1 -i country >> out
done < filename
cat out | grep -i cn | wc -l
ในรายการด้านบนแสดงให้เห็นว่า302จากที่อยู่ทั้งหมด331ที่อยู่ในจีนแผ่นดินใหญ่ที่เหลืออยู่ในฮ่องกง, มองโกเลีย, ไต้หวัน นี่เป็นการเพิ่มการสนับสนุนเพิ่มเติมให้กับการโต้แย้งของ David Schwartz ซึ่งส่วนใหญ่เป็นแหวนบอทจีน
แก้ไข 3
ตามคำขอของ @ vaid (ผู้เขียน OP อ่านความคิดเห็นของเขาด้านล่าง) ฉันจะเพิ่มความคิดเห็นเกี่ยวกับวิธีการเสริมสร้างความปลอดภัยของระบบ Linux พื้นฐาน (สำหรับระบบที่ให้บริการมากมายนี่เป็นหัวข้อที่ซับซ้อนกว่ามาก) vaidรัฐเขาทำต่อไปนี้:
ติดตั้งระบบอีกครั้ง
เปลี่ยนรหัสผ่านรูทเป็นรหัสผ่านแบบยาว 16 ตัวอักษรโดยใช้ตัวอักษรและตัวเลขและตัวพิมพ์เล็กและตัวใหญ่ผสมกัน
เปลี่ยนชื่อผู้ใช้เป็นชื่อผู้ใช้แบบยาว 6 ตัวอักษรและใช้รหัสผ่านเดียวกับที่ใช้กับรูท
เปลี่ยนพอร์ต SSH เป็นอะไรที่สูงกว่า 5,000
ปิดการเข้าสู่ระบบรูท SSH
นี่ใช้ได้ (ยกเว้นฉันใช้พอร์ตที่สูงกว่า 10,000 เนื่องจากโปรแกรมที่มีประโยชน์มากมายใช้พอร์ตต่ำกว่า 10,000) แต่ฉันไม่สามารถเน้นความจำเป็นที่จะต้องใช้คีย์การเข้ารหัสลับสำหรับการเข้าสู่ระบบ sshแทนรหัสผ่านได้ ฉันจะยกตัวอย่างให้คุณ ในหนึ่งใน VPSes ของฉันฉันไม่แน่ใจว่าจะเปลี่ยนพอร์ต ssh หรือไม่ ฉันทิ้งไว้ที่ 22 แต่ใช้คีย์ crypto เพื่อตรวจสอบสิทธิ์ ฉันมีความพยายามหลายร้อยครั้งต่อวันแต่ก็ไม่ประสบความสำเร็จ เมื่อเบื่อที่จะตรวจสอบรายวันว่าไม่มีใครประสบความสำเร็จในที่สุดฉันก็เปลี่ยนพอร์ตเป็นอะไรที่มากกว่า 10,000 ครั้งความพยายามบุกเข้าไปที่ศูนย์ โปรดทราบว่าไม่ใช่แฮ็กเกอร์ที่โง่ (ไม่ใช่!) พวกเขาแค่ล่าเหยื่อได้ง่ายขึ้น
มันง่ายต่อการเปิดใช้งานคีย์ crypto ด้วย RSA เป็นอัลกอริธึมลายเซ็นดูความคิดเห็นด้านล่างโดย Jan Hudec (ขอบคุณ!):
cd; mkdir .ssh; chmod 700 .ssh; cd .ssh; ssh-keygen -t rsa (then hit <kbd>ENTER>/kbd> three times); cat id_rsa.pub >> authorized_keys; chmod 600 *
ตอนนี้สิ่งที่คุณต้องทำคือการคัดลอกไฟล์id_rsaไปยังเครื่องที่คุณต้องการเชื่อมต่อ (ในไดเรกทอรี.sshเช่นchmod'ed ถึง 700) จากนั้นออกคำสั่ง
ssh -p YourChosenNonStandardPort -i ~/.ssh/id_rsa me@RemoteMachine
เมื่อคุณแน่ใจว่าใช้งานได้ให้แก้ไขบนเซิร์ฟเวอร์ (= เครื่องที่คุณต้องการเชื่อมต่อ) ไฟล์/etc/ssh/sshd_configและเปลี่ยนสาย
#PasswordAuthentication yes
ไปยัง
PasswordAuthentication no
และเริ่มsshบริการ ( service ssh restartหรือsystemctl restart sshหรืออะไรทำนองนี้ทั้งนี้ขึ้นอยู่กับ distro)
สิ่งนี้จะทนได้มาก ในความเป็นจริงขณะนี้ไม่มีการหาประโยชน์ที่รู้จักกันกับรุ่นปัจจุบันของและของอาร์เอสเป็นลูกจ้างโดยopenssh v2openssh v2
สุดท้ายเพื่อที่จะโบยเครื่องของคุณจริงๆคุณจะต้องกำหนดค่าไฟร์วอลล์ (netfilter / iptables) ดังนี้:
iptables -A INPUT -p tcp --dport YourChosenNonStandardPort -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
นี่คือ 1) อนุญาตการเชื่อมต่อ ssh จากทั้ง LAN และ WAN, 2) อนุญาตให้อินพุตทั้งหมดที่มาจากคำขอของคุณ (เช่นเมื่อคุณโหลดหน้าเว็บ) 3) ปล่อยทุกอย่างลงบนอินพุต 4) อนุญาตทุกอย่างบน เอาต์พุตและ 5-6) อนุญาตให้ทุกอย่างในอินเทอร์เฟซย้อนกลับ
เมื่อความต้องการของคุณเพิ่มขึ้นและจำเป็นต้องเปิดพอร์ตมากขึ้นคุณสามารถทำได้โดยการเพิ่มที่ด้านบนของรายการกฎเช่น:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
เพื่ออนุญาตให้ผู้ใช้อินสแตนซ์เข้าถึงเว็บเบราว์เซอร์ของคุณ