正如标题所示,我注意到,通过运行/不断观看/监控以下输出:
lsof -i -P -n
与我本地的 IP 不同,是ESTABLISHED
ssh 上的连接。
这是在远程服务器上。我不太确定它是否真的成功登录,但前面提到的命令的输出确实显示ESTABLISHED
在所述 IP 地址旁边。
所以我检查了 的输出last
,除了我的IP之外,我没有注意到任何其他IP...此外,我在lsof
输出上看到的不同IP在几秒钟后消失了。
为了监视 的输出lsof
,我使用这个:
watch -n 1 lsof -i -P -n
上述命令的示例输出如下:
sshd 935 user 4u IPv4 25823 0t0 TCP XX.XXX.XXX.XXX:XX->XX.XXX.XXX.XXX:XXXXX (ESTABLISHED)
其中第二部分->
是这里提到的部分,第一部分是服务器本身的IP。
last
当其他工具(例如lsof
do 显示连接)时看不到任何条目(除了我自己的/上一个条目之外),这是正常的吗ESTABLISHED
?
我已经知道可以删除其中的条目,/var/log
这样它就不会出现在last
输出中,但是提到的 IP 消失得如此之快(输出后不到 10 秒ESTABLISHED
)lsof
,我发现很难相信它成功了登录...
答案1
只有 root 有权访问/var/log/secure
(Red Hat) 或/var/log/auth.log
(Debian)。去那里检查日志。
另请记住,当有人尝试通过 SSH 连接到您的服务器时,他们将需要进行身份验证。在认证过程中,TCP会话是ESTABLISHED
。登录失败后会话很快就会消失。这就是为什么您会看到ESTABLISHED
会话出现和消失的原因。这是 SSH 暴力尝试的迹象。
您也可以考虑锁定您的 SSH 服务器