sshd 程序的 netstat 命令中的“ESTABLISHED”状态是否意味着他们实际上具有访问权限?

sshd 程序的 netstat 命令中的“ESTABLISHED”状态是否意味着他们实际上具有访问权限?

我有来自智利 IP 的此人(或机器人),其以 root 身份在我的服务器上与 SSHD 建立了“已建立”连接。

我试图了解 netstat 的输出真正意味着什么,手册并没有提供太多关于它们的详细信息。以下是我得到的结果:

root@linode [~]# netstat -tanpc|grep 200.29.174.125
tcp        0    840 45.33.71.204:22             200.29.174.125:40506        ESTABLISHED 12016/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:40792        ESTABLISHED 12020/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:41079        SYN_RECV    -
tcp        0      1 45.33.71.204:22             200.29.174.125:40792        FIN_WAIT1   -
tcp        0     84 45.33.71.204:22             200.29.174.125:41079        ESTABLISHED 12022/sshd
tcp        0     52 45.33.71.204:22             200.29.174.125:41353        ESTABLISHED 12024/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:41661        ESTABLISHED 12026/sshd
tcp        0    720 45.33.71.204:22             200.29.174.125:41959        ESTABLISHED 12028/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:42208        ESTABLISHED 12030/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:42509        ESTABLISHED 12032/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:42810        ESTABLISHED 12034/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:43094        SYN_RECV    -
tcp        0     84 45.33.71.204:22             200.29.174.125:43094        ESTABLISHED 12036/sshd
tcp        0     52 45.33.71.204:22             200.29.174.125:43362        ESTABLISHED 12038/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:43676        ESTABLISHED 12040/sshd
tcp        0    720 45.33.71.204:22             200.29.174.125:43936        ESTABLISHED 12042/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:44229        ESTABLISHED 12044/sshd
tcp        0    840 45.33.71.204:22             200.29.174.125:44566        ESTABLISHED 12047/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:44844        ESTABLISHED 12056/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:45079        SYN_RECV    -
tcp        0     84 45.33.71.204:22             200.29.174.125:45079        ESTABLISHED 12058/sshd

我从上面的输出中了解到,这个人(或机器人?)每秒都在更改端口,因此每次他(或它)“建立”连接时都会为 SSHD 创建一个新 PID。我说得对吗?

接下来我想问的更重要的问题是,这里的“ESTABLISHED”状态是否意味着他(或它)实际上可以作为 root 用户访问我的服务器?或者,如果我上面的假设是正确的,这是否意味着他(或它)正在扫描我服务器中的端口,仍在尝试进入?

答案1

已建立仅表示连接已完全打开并且可以传输数据。这并不一定意味着任何数据已传输!无论某人是否已通过您的系统进行身份验证,这并不表示有关第 7 层的任何信息。您可以检查系统日志以了解某人是否已成功进行身份验证。

答案2

已建立意味着另一端的用户有一个开放的连接,因此“shutdown -I”之类的操作应该可以工作,除非你显然无论如何都无法做到这一点。除非需要其他输出,否则我只担心标记为已建立的输出。

相关内容