我正在运行 Digital Ocean 的基本 Ubuntu 服务器,我使用 SSH 密钥(存储在我的桌面上)来访问它。
我刚刚运行了,netstat -ap结果如下:
Local Address Foreign Address State PID
XX.XXX.XX.192 183.214.141.105:53929 ESTABLISHED 25193/sshd: root [p
这不是我,我搜索过该 IP,它位于多个禁止名单中,并且来自中国。
我的问题:
1) 由于状态为“ESTABLISHED”,这是否意味着他们可以通过 SSH 访问我的服务器?或者这是暴力尝试进入?
2) 我的服务器是如何被入侵的?我不知道暴力破解可以破解 SSH 密钥?他们难道不需要在我的桌面上访问我的密钥吗?
答案1
1) 已建立仅表示连接已完全打开并且可以传输数据。这并不一定意味着已传输任何数据!它并不表示有关第 7 层的任何信息,无论某人是否已通过您的系统进行身份验证。您可以检查系统日志以了解某人是否已成功通过身份验证。(来源)
2) 也许。您需要检查日志,看看是否有人已成功验证身份。在 Ubuntu 上,可以在以下位置找到 ssh 日志/var/log/auth
https://unix.stackexchange.com/questions/127432/logging-ssh-access-attempts
不要忘记,您可以暴力破解 ssh 密钥的密码。
顺便说一句,从公钥重建私钥目前在技术上是不可能的
https://security.stackexchange.com/questions/33238/brute-forcing-ssh-keys
我建议使用一些使用 ssh 进行双因素身份验证和Fail2ban
Fail2ban 扫描日志文件(例如 /var/log/apache/error_log)并禁止显示恶意迹象的 IP(密码错误次数过多)