我注意到这些未知的连接已建立到我的服务器。我追踪了 IP 到香港/中国地区。但我无法弄清楚这些连接是什么。
我已经更改了 root 密码并重启了服务器,但几个小时后这些连接又弹出来了。任何帮助我都非常感谢。
sshd 6765 root 3u IPv4 109602 0t0 TCP cbd.com:22->222.186.56.87:1384 (ESTABLISHED)
sshd 6766 sshd 3u IPv4 109602 0t0 TCP cbd.com:22->222.186.56.87:1384 (ESTABLISHED)
答案1
它们几乎肯定是试图“暴力破解”(猜测)密码的连接。您应该能够通过查看身份验证服务日志(/var/log/auth.log在 Debianish 机器上,/var/log/secure在 RHEL 派生系统上)来了解它们在做什么。