我有来自智利 IP 的此人(或机器人),其以 root 身份在我的服务器上与 SSHD 建立了“已建立”连接。
我试图了解 netstat 的输出真正意味着什么,手册并没有提供太多关于它们的详细信息。以下是我得到的结果:
root@linode [~]# netstat -tanpc|grep 200.29.174.125
tcp 0 840 45.33.71.204:22 200.29.174.125:40506 ESTABLISHED 12016/sshd
tcp 0 21 45.33.71.204:22 200.29.174.125:40792 ESTABLISHED 12020/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:41079 SYN_RECV -
tcp 0 1 45.33.71.204:22 200.29.174.125:40792 FIN_WAIT1 -
tcp 0 84 45.33.71.204:22 200.29.174.125:41079 ESTABLISHED 12022/sshd
tcp 0 52 45.33.71.204:22 200.29.174.125:41353 ESTABLISHED 12024/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:41661 ESTABLISHED 12026/sshd
tcp 0 720 45.33.71.204:22 200.29.174.125:41959 ESTABLISHED 12028/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:42208 ESTABLISHED 12030/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:42509 ESTABLISHED 12032/sshd
tcp 0 21 45.33.71.204:22 200.29.174.125:42810 ESTABLISHED 12034/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:43094 SYN_RECV -
tcp 0 84 45.33.71.204:22 200.29.174.125:43094 ESTABLISHED 12036/sshd
tcp 0 52 45.33.71.204:22 200.29.174.125:43362 ESTABLISHED 12038/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:43676 ESTABLISHED 12040/sshd
tcp 0 720 45.33.71.204:22 200.29.174.125:43936 ESTABLISHED 12042/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:44229 ESTABLISHED 12044/sshd
tcp 0 840 45.33.71.204:22 200.29.174.125:44566 ESTABLISHED 12047/sshd
tcp 0 21 45.33.71.204:22 200.29.174.125:44844 ESTABLISHED 12056/sshd
tcp 0 0 45.33.71.204:22 200.29.174.125:45079 SYN_RECV -
tcp 0 84 45.33.71.204:22 200.29.174.125:45079 ESTABLISHED 12058/sshd
我从上面的输出中了解到,这个人(或机器人?)每秒都在更改端口,因此每次他(或它)“建立”连接时都会为 SSHD 创建一个新 PID。我说得对吗?
接下来我想问的更重要的问题是,这里的“ESTABLISHED”状态是否意味着他(或它)实际上可以作为 root 用户访问我的服务器?或者,如果我上面的假设是正确的,这是否意味着他(或它)正在扫描我服务器中的端口,仍在尝试进入?
答案1
已建立仅表示连接已完全打开并且可以传输数据。这并不一定意味着任何数据有已传输!无论某人是否已通过您的系统进行身份验证,这并不表示有关第 7 层的任何信息。您可以检查系统日志以了解某人是否已成功进行身份验证。
答案2
已建立意味着另一端的用户有一个开放的连接,因此“shutdown -I”之类的操作应该可以工作,除非你显然无论如何都无法做到这一点。除非需要其他输出,否则我只担心标记为已建立的输出。