正如标题所示,我注意到,通过运行/不断观看/监控以下输出:
lsof -i -P -n
与我本地的 IP 不同,是ESTABLISHEDssh 上的连接。
这是在远程服务器上。我不太确定它是否真的成功登录,但前面提到的命令的输出确实显示ESTABLISHED在所述 IP 地址旁边。
所以我检查了 的输出last,除了我的IP之外,我没有注意到任何其他IP...此外,我在lsof输出上看到的不同IP在几秒钟后消失了。
为了监视 的输出lsof,我使用这个:
watch -n 1 lsof -i -P -n
上述命令的示例输出如下:
sshd 935 user 4u IPv4 25823 0t0 TCP XX.XXX.XXX.XXX:XX->XX.XXX.XXX.XXX:XXXXX (ESTABLISHED)
其中第二部分->是这里提到的部分,第一部分是服务器本身的IP。
last当其他工具(例如lsofdo 显示连接)时看不到任何条目(除了我自己的/上一个条目之外),这是正常的吗ESTABLISHED?
我已经知道可以删除其中的条目,/var/log这样它就不会出现在last输出中,但是提到的 IP 消失得如此之快(输出后不到 10 秒ESTABLISHED)lsof,我发现很难相信它成功了登录...
答案1
只有 root 有权访问/var/log/secure(Red Hat) 或/var/log/auth.log(Debian)。去那里检查日志。
另请记住,当有人尝试通过 SSH 连接到您的服务器时,他们将需要进行身份验证。在认证过程中,TCP会话是ESTABLISHED。登录失败后会话很快就会消失。这就是为什么您会看到ESTABLISHED会话出现和消失的原因。这是 SSH 暴力尝试的迹象。
您也可以考虑锁定您的 SSH 服务器