我在日志中不断收到此连接,如何追踪正在尝试连接的应用程序?
允许 root@localhost 连接
190310 22:38:57 [Warning] Access denied for user 'root'@'localhost' (using password: YES) 190310 22:38:59 [Warning] Access denied for user 'root'@'localhost' (using password: YES) 190310 22:38:59 [Warning] Access denied for user 'root'@'localhost' (using password: YES) 190310 22:39:03 [Warning] Access denied for user 'root'@'localhost' (using password: YES)
答案1
不幸的是,由于您的 SSH 守护程序正在记录日志,因此没有简单的方法可以做到这一点。以下是我解决这个问题的方法:
- 执行多个 netstats / lsof 命令来确定究竟是什么在端口 22 上生成了网络连接
- 关闭所有面向公众的服务并查看日志是否停止写入。
- 执行多个进程输出快照,以检查是否不断生成任何可疑程序(python/perl/php)。
- 检查所有用户的 cron 条目。
答案2
请记住,这些“用户”是不同的:
root@localhost
root@'11.22.33.44' -- or any IP or host
你可能最初已GRANTs为建立root@localhost,但未为跨 TCP/IP 建立(反之亦然)。或者您给了它们不同的密码。