我已经通过 ssh 登录到运行 Centos 7 的服务器并执行以下命令:
[me@server ~]$ ps -ef --forest | grep ssh
root 476 1 0 Dec02 ? 00:00:00 /usr/sbin/sshd -D
root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv]
me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0
me 12405 12369 0 23:27 pts/0 00:00:00 | \_ grep --color=auto ssh
root 12401 476 0 23:27 ? 00:00:00 \_ sshd: root [priv]
sshd 12402 12401 0 23:27 ? 00:00:00 \_ sshd: root [net]
me 12399 1 0 23:27 ? 00:00:00 ssh-agent
第二个子进程 sshd (PID = 12401) 属于 root,它是什么?这可能是某种恶意连接吗?
(通过 ssh 禁用 root 访问后,该过程不会出现。)
答案1
在此示例中,您可以看到以下两个过程:
root 12401 476 0 23:27 ? 00:00:00 \_ sshd: root [priv]
sshd 12402 12401 0 23:27 ? 00:00:00 \_ sshd: root [net]
这和你的那对完全不同:
root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv]
me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0
是sshd: root [priv]守护进程的特权进程,正在等待sshd: root [net]子进程进行身份验证。这意味着,当您执行 时ps,正在进行一些身份验证尝试,其中root用户正在尝试登录。
在公共 IP 上以及在标准端口上运行服务时,这种情况并不罕见sshd。每天您可能会遇到数百次此类尝试,但如果您有强密码,则并不危险。