Linux 服务器上的同一个用户重复打开许多 ssh 连接

Linux 服务器上的同一个用户重复打开许多 ssh 连接

ps aux 给了我类似这样的信息:

root     30800  0.0  0.3 101792  6360 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30812  0.0  0.1 101792  3680 ?        S    17:23   0:00 sshd: user_name
root     30819  0.0  0.3 101792  6304 ?        Ss   17:01   0:00 sshd: user_name [priv]
root     30866  0.0  0.3 101792  6420 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30868  0.0  0.1 101792  3720 ?        S    17:23   0:00 sshd: user_name
root     30919  0.0  0.3 101792  6312 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30921  0.0  0.1 101792  3680 ?        S    17:23   0:00 sshd: user_name
root     30964  0.0  0.3 101792  6356 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30966  0.0  0.1 101792  3700 ?        S    17:24   0:00 sshd: user_name
user_na+ 30983  0.0  0.1 101792  3560 ?        S    17:01   0:00 sshd: user_name
root     31065  0.0  0.3 101792  6392 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31069  0.0  0.1 101792  3620 ?        S    17:24   0:00 sshd: user_name
root     31130  0.0  0.3 101792  6416 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31134  0.0  0.1 101792  3688 ?        S    17:24   0:00 sshd: user_name
root     31169  0.0  0.3 101792  6308 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31175  0.0  0.1 101792  3492 ?        S    17:24   0:00 sshd: user_name
root     31212  0.0  0.3 101792  6452 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31216  0.0  0.1 101792  3772 ?        S    17:24   0:00 sshd: user_name
root     31269  0.0  0.3 101792  6292 ?        Ss   17:24   0:00 sshd: user_name [priv]

这只是一个缩短的列表,大约有 150 行。

在我尝试杀死它们之后,新的 sshd 连接又产生了。

用户“user_name”被禁用,如果我执行 cat /etc/passwd | grep user_name,我会得到以下信息:

user_name:x:1521:1521::/home/user_name:/usr/sbin/nologin

是否有人试图闯入这里或者我怎样才能知道这里发生了什么事?

答案1

可能user_name有一个~user_name/.ssh/authorized_keys文件,如果您允许在 中使用基于密钥的登录sshd_config,则该文件还可以根据身份验证设置绕过基于密码的登录限制。例如,pam基于系统通常具有单独的ssh连接配置(请参阅/etc/pam.d/sshd)。此外,如果客户端指定要作为连接的一部分运行的命令,那么仅仅因为 的登录 shelluser_name并不/usr/sbin/nologin意味着ssh无法建立连接。

至于您是否受到攻击,我无法判断。您可以查看该用户 ID 拥有的其他进程。

相关内容