ps aux 给了我类似这样的信息:
root 30800 0.0 0.3 101792 6360 ? Ss 17:23 0:00 sshd: user_name [priv]
user_na+ 30812 0.0 0.1 101792 3680 ? S 17:23 0:00 sshd: user_name
root 30819 0.0 0.3 101792 6304 ? Ss 17:01 0:00 sshd: user_name [priv]
root 30866 0.0 0.3 101792 6420 ? Ss 17:23 0:00 sshd: user_name [priv]
user_na+ 30868 0.0 0.1 101792 3720 ? S 17:23 0:00 sshd: user_name
root 30919 0.0 0.3 101792 6312 ? Ss 17:23 0:00 sshd: user_name [priv]
user_na+ 30921 0.0 0.1 101792 3680 ? S 17:23 0:00 sshd: user_name
root 30964 0.0 0.3 101792 6356 ? Ss 17:23 0:00 sshd: user_name [priv]
user_na+ 30966 0.0 0.1 101792 3700 ? S 17:24 0:00 sshd: user_name
user_na+ 30983 0.0 0.1 101792 3560 ? S 17:01 0:00 sshd: user_name
root 31065 0.0 0.3 101792 6392 ? Ss 17:24 0:00 sshd: user_name [priv]
user_na+ 31069 0.0 0.1 101792 3620 ? S 17:24 0:00 sshd: user_name
root 31130 0.0 0.3 101792 6416 ? Ss 17:24 0:00 sshd: user_name [priv]
user_na+ 31134 0.0 0.1 101792 3688 ? S 17:24 0:00 sshd: user_name
root 31169 0.0 0.3 101792 6308 ? Ss 17:24 0:00 sshd: user_name [priv]
user_na+ 31175 0.0 0.1 101792 3492 ? S 17:24 0:00 sshd: user_name
root 31212 0.0 0.3 101792 6452 ? Ss 17:24 0:00 sshd: user_name [priv]
user_na+ 31216 0.0 0.1 101792 3772 ? S 17:24 0:00 sshd: user_name
root 31269 0.0 0.3 101792 6292 ? Ss 17:24 0:00 sshd: user_name [priv]
这只是一个缩短的列表,大约有 150 行。
在我尝试杀死它们之后,新的 sshd 连接又产生了。
用户“user_name”被禁用,如果我执行 cat /etc/passwd | grep user_name,我会得到以下信息:
user_name:x:1521:1521::/home/user_name:/usr/sbin/nologin
是否有人试图闯入这里或者我怎样才能知道这里发生了什么事?
答案1
可能user_name有一个~user_name/.ssh/authorized_keys文件,如果您允许在 中使用基于密钥的登录sshd_config,则该文件还可以根据身份验证设置绕过基于密码的登录限制。例如,pam基于系统通常具有单独的ssh连接配置(请参阅/etc/pam.d/sshd)。此外,如果客户端指定要作为连接的一部分运行的命令,那么仅仅因为 的登录 shelluser_name并不/usr/sbin/nologin意味着ssh无法建立连接。
至于您是否受到攻击,我无法判断。您可以查看该用户 ID 拥有的其他进程。