我需要帮助来确定我的服务器是否已被黑客入侵。
服务器已sshd
启动。前几天,我lsof -i TCP
在重启服务器之前尝试查看是否有人在连接服务器。然后我注意到以下输出:
sshd 19400 root 3u IPv6 224125 0t0 TCP [2600:3c01::f03c:91ff:fe57:c70b]:ssh->123.456.789.123:59030 (ESTABLISHED)
sshd 19409 me 3u IPv6 224125 0t0 TCP [2600:3c01::f03c:91ff:fe57:c70b]:ssh->123.456.789.123:59030 (ESTABLISHED)
sshd 10623 root 3u IPv4 123099 0t0 TCP www.playandlearn.xyz:ssh->221.131.165.86:49085 (ESTABLISHED)
sshd 10624 sshd 3u IPv4 123099 0t0 TCP www.playandlearn.xyz:ssh->221.131.165.86:49085 (ESTABLISHED)
前两行是我的 ssh 连接(我把我的 ip 地址改成了假的)。最后一行显示的用户名是sshd
,不是我所期望的。然后我搜索了 ip 地址221.131.165.86
,发现有些网站将其列为恶意地址。
为了弄清楚这个地址是如何登录到服务器的,我从中进行了 grep 操作/var/log/auth.log
,但只找到(很多)类似这样的行:
Mar 23 18:59:42 www sshd[16055]: Received disconnect from 221.131.165.86 port 19152:11: [preauth]
Mar 23 18:59:42 www sshd[16055]: Disconnected from 221.131.165.86 port 19152 [preauth]
没有从该地址成功登录的条目。
几个小时后,连接断开了。此后,我随机检查了几次,没有看到来自可疑地址的任何连接。
但是今天我注意到另一个 IP 地址也出现了同样的症状:以用户“sshd”的身份出现lsof
,多次尝试连接均失败,但没有成功的登录条目/var/log/auth.log
。
我的问题是:
- 这些列表是否
lsof -i TCP
表明它们已成功连接,或者它们只是在尝试连接。请注意,在第一种情况下,连接似乎持续了几个小时。 - 如果他们已经入侵,为什么我找不到相关日志
auth.log
? - 记下这些后,我意识到这些连接可能与我的 Web 服务器有关?其中一个页面使用了 Web 套接字,这或许可以解释为什么连接时间这么长?
感谢您的帮助。如果我需要提供更多信息,请告知。
答案1
我不这么认为,你似乎只是被扫描了。该sshd
用户出现在那里是因为sshd
守护进程 - IIUC - 具有权限分离,并且在用户初始身份验证期间,它会在sshd
用户下生成新进程。
你可以自己尝试一下:
watch -n 0.5 "lsof -ni TCP | grep :ssh"
查看第一个输出:
Every 0.5s: lsof -ni TCP | grep :ssh localhost.localdomain: Wed Mar 24 22:07:58 2021
sshd 10010 root 3u IPv4 1532608 0t0 TCP *:ssh (LISTEN)
sshd 10010 root 4u IPv6 1532610 0t0 TCP *:ssh (LISTEN)
并尝试登录不存在的用户(我假设您在这里允许密码验证,因此它等待用户密码)。
ssh jwwj@localhost
Password:
你应该会看到类似这样的内容...
Every 0.5s: lsof -ni TCP | grep :ssh localhost.localdomain: Wed Mar 24 22:02:57 2021
sshd 10010 root 3u IPv4 1532608 0t0 TCP *:ssh (LISTEN)
sshd 10010 root 4u IPv6 1532610 0t0 TCP *:ssh (LISTEN)
ssh 11218 jiri 3u IPv4 1543472 0t0 TCP 127.0.0.1:38662->127.0.0.1:ssh (ESTABLISHED)
sshd 11219 root 4u IPv4 1544285 0t0 TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)
sshd 11220 sshd 4u IPv4 1544285 0t0 TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)
sshd 11221 root 4u IPv4 1544285 0t0 TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)
看到我的(吉里) 本地 ssh 进程到 localhost 导致出现一个 PID 为 11220 的进程。
(顺便说一下,这是在 OpenSUSE Tumbleweed 上测试的。)
有关 sshd privsep 的信息https://security.stackexchange.com/a/115905/199910以及 openssh 项目的介绍https://www.openbsd.org/papers/openssh-measures-asiabsdcon2007-slides.pdf