我的一个朋友发给我这个。他担心进程 7680 是入侵者。有可能吗?可能是他运行了 sudo 命令(这会分叉一个 shell?)。他提到最近通过 ssh 连接到目标机器。
ps aux|grep ssh
root 681 0.0 0.0 6308 668 ? Ss Feb22 0:00 /usr/sbin/sshd
fanfan 898 0.0 0.0 4024 152 ? Ss Feb22 0:00 /usr/bin/ssh-agent -s
root 26308 0.3 0.0 7680 2340 ? Ss 12:05 0:00 sshd: [accepted]
nobody 26309 0.0 0.0 7652 1068 ? S 12:05 0:00 sshd: [net]
root 26311 0.0 0.0 964 160 pts/2 D+ 12:05 0:00 grep ssh
答案1
当然可能是有人试图与计算机建立 ssh 会话。根据您使用的操作系统,此类会话将被记录。
通常它们记录在以下文件之一中:
/var/log/syslog
/var/log/auth
/var/log/auth.log
/var/log/secure
/var/logs/system.log
如果找不到任何内容,您可以尝试以 root 权限运行以下命令,以了解要查找的位置:
grep -ir ssh /var/log/*
grep -ir sshd /var/log/*
grep -ir breakin /var/log/*
grep -ir security /var/log/*
查看日志中是否有任何可疑的 IP、主机名或警告。如果是,您可以将它们列入黑名单。
如果您重新启动计算机,残留的 SSH 会话应该会消失。因此,如果您的朋友不使用 SSH,而这些进程仍在继续,则表明有其他东西或其他人正在连接到计算机。