我的服务器被黑客入侵了吗?

tag-icon tag-icon ssh
我的服务器被黑客入侵了吗?

我需要帮助来确定我的服务器是否已被黑客入侵。

服务器已sshd启动。前几天,我lsof -i TCP在重启服务器之前尝试查看是否有人在连接服务器。然后我注意到以下输出:

sshd     19400    root    3u  IPv6 224125      0t0  TCP [2600:3c01::f03c:91ff:fe57:c70b]:ssh->123.456.789.123:59030 (ESTABLISHED)
sshd     19409    me    3u  IPv6 224125      0t0  TCP [2600:3c01::f03c:91ff:fe57:c70b]:ssh->123.456.789.123:59030 (ESTABLISHED)
sshd     10623    root    3u  IPv4 123099      0t0  TCP www.playandlearn.xyz:ssh->221.131.165.86:49085 (ESTABLISHED)
sshd     10624    sshd    3u  IPv4 123099      0t0  TCP www.playandlearn.xyz:ssh->221.131.165.86:49085 (ESTABLISHED)

前两行是我的 ssh 连接(我把我的 ip 地址改成了假的)。最后一行显示的用户名是sshd,不是我所期望的。然后我搜索了 ip 地址221.131.165.86,发现有些网站将其列为恶意地址。

为了弄清楚这个地址是如何登录到服务器的,我从中进行了 grep 操作/var/log/auth.log,但只找到(很多)类似这样的行:

Mar 23 18:59:42 www sshd[16055]: Received disconnect from 221.131.165.86 port 19152:11:  [preauth]
Mar 23 18:59:42 www sshd[16055]: Disconnected from 221.131.165.86 port 19152 [preauth]

没有从该地址成功登录的条目。

几个小时后,连接断开了。此后,我随机检查了几次,没有看到来自可疑地址的任何连接。

但是今天我注意到另一个 IP 地址也出现了同样的症状:以用户“sshd”的身份出现lsof,多次尝试连接均失败,但没有成功的登录条目/var/log/auth.log

我的问题是:

  1. 这些列表是否lsof -i TCP表明它们已成功连接,或者它们只是在尝试连接。请注意,在第一种情况下,连接似乎持续了几个小时。
  2. 如果他们已经入侵,为什么我找不到相关日志auth.log
  3. 记下这些后,我意识到这些连接可能与我的 Web 服务器有关?其中一个页面使用了 Web 套接字,这或许可以解释为什么连接时间这么长?

感谢您的帮助。如果我需要提供更多信息,请告知。

答案1

我不这么认为,你似乎只是被扫描了。该sshd用户出现在那里是因为sshd守护进程 - IIUC - 具有权限分离,并且在用户初始身份验证期间,它会在sshd用户下生成新进程。

你可以自己尝试一下:

watch -n 0.5 "lsof -ni TCP | grep :ssh"

查看第一个输出:

Every 0.5s: lsof -ni TCP | grep :ssh                                                                                                                                                            localhost.localdomain: Wed Mar 24 22:07:58 2021

sshd    10010    root    3u  IPv4 1532608      0t0  TCP *:ssh (LISTEN)
sshd    10010    root    4u  IPv6 1532610      0t0  TCP *:ssh (LISTEN)

并尝试登录不存在的用户(我假设您在这里允许密码验证,因此它等待用户密码)。

ssh jwwj@localhost
Password:

你应该会看到类似这样的内容...

Every 0.5s: lsof -ni TCP | grep :ssh                                                                                                                                                            localhost.localdomain: Wed Mar 24 22:02:57 2021

sshd    10010       root    3u  IPv4 1532608      0t0  TCP *:ssh (LISTEN)
sshd    10010       root    4u  IPv6 1532610      0t0  TCP *:ssh (LISTEN)
ssh     11218       jiri    3u  IPv4 1543472      0t0  TCP 127.0.0.1:38662->127.0.0.1:ssh (ESTABLISHED)
sshd    11219       root    4u  IPv4 1544285      0t0  TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)
sshd    11220       sshd    4u  IPv4 1544285      0t0  TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)
sshd    11221       root    4u  IPv4 1544285      0t0  TCP 127.0.0.1:ssh->127.0.0.1:38662 (ESTABLISHED)

看到我的(吉里) 本地 ssh 进程到 localhost 导致出现一个 PID 为 11220 的进程。

(顺便说一下,这是在 OpenSUSE Tumbleweed 上测试的。)

有关 sshd privsep 的信息https://security.stackexchange.com/a/115905/199910以及 openssh 项目的介绍https://www.openbsd.org/papers/openssh-measures-asiabsdcon2007-slides.pdf

相关内容