以下是输出(我已将 IP 更改为 23.23.23.23)
[root@web01 centos]# lsof -i tcp:22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 3705 root 3u IPv4 43164 0t0 TCP *:ssh (LISTEN)
sshd 3705 root 4u IPv6 43166 0t0 TCP *:ssh (LISTEN)
sshd 32064 root 3u IPv4 8676370 0t0 TCP web01.internal:ssh->49.235.10.177:33976 (ESTABLISHED)
sshd 32160 root 3u IPv4 8673203 0t0 TCP web01.internal:ssh->23-23-23-23.static.isp.com:filesphere (ESTABLISHED)
sshd 32168 centos 3u IPv4 8673203 0t0 TCP web01.internal:ssh->23-23-23-23.static.isp.com:filesphere (ESTABLISHED)
未知IP:49.235.10.177- 通过快速的 Google 搜索,我发现它来自中国,并且已被举报多次滥用。
这有多严重?我该怎么办?
答案1
您可能每天都会遇到很多这样的情况。有些机器人会在它们能找到的每个面向互联网的 sshd 上尝试使用常见的用户名/密码。
您可以执行以下操作last来查看是否存在来自未知地址的实际登录(而不仅仅是连接),并检查 /var/log/auth。但请注意,如果系统受到威胁,您可能在那里找不到任何东西。
并考虑使用fail2ban自动禁止尝试连接过多次数的 IP 地址。