Linux

為什麼下面的netstat、ps、auth.log會有這樣的輸出?

  • February 17, 2021

我似乎在這個 Ubuntu 伺服器上獲得了很多不同的連接(ssh)。這些只是蠻力嘗試嗎?

執行時,netstat -tnpa | grep 'ESTABLISHED.*sshd'為什麼我分別在每一行的末尾得到“root@p”和“[accep”?

此外,在執行時,grep sshd.\*Failed /var/log/auth.log | tail -20我似乎得到了很多不同的“無效使用者”。為什麼呢?最後,ps auxwww | grep sshd:輸出兩個“

$$ accepted $$“。 為什麼呢? 謝謝

在此處輸入圖像描述

在此處輸入圖像描述

更新:

現在發生了另一件有趣的事情。我 netstat -tnpa | grep 'ESTABLISHED.*sshd'再次執行,顯然列出了來自香港的“103.100.xxxx”形式的I​​P。然後我跑 cat /var/log/auth.log | tail -100了,得到了以下

Feb 16 17:58:25 838396123831 sshd[227710]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.100.210.xxx  user=root
Feb 16 17:58:26 838396123831 sshd[227708]: Received disconnect from 103.136.xxxxp ort 33268:11: Bye Bye [preauth]
Feb 16 17:58:26 838396123831 sshd[227708]: Disconnected from invalid user hero 103.136.xxxx port 33268 [preauth]
Feb 16 17:58:27 838396123831 sshd[227710]: Failed password for root from 103.100.xxxx port 40810 ssh2
Feb 16 17:58:27 838396123831 sshd[227710]: Received disconnect from 103.100.xxxx port 40810:11: Bye Bye [preauth]
Feb 16 17:58:27 838396123831 sshd[227710]: Disconnected from authenticating user root 103.100.xxxx port 40810 [preauth]

然後我跑過去grep sshd.\*Failed /var/log/auth.log | tail -20發現Feb 16 18:00:42 838396123831 sshd[227760]: Failed password for invalid user ircbot from 103.136.xxxxx port 47546 ssh2

然後我跑過去grep sshd.\*Failed /var/log/auth.log | tail -100看看


Feb 16 17:53:24 838396123831 sshd[227596]: Failed password for root from 103.136.xxxx port 33470 ssh2
Feb 16 17:55:57 838396123831 sshd[227652]: Failed password for root from 103.136.xxxxx port 47406 ssh2

Feb 16 17:58:24 838396123831 sshd[227708]: Failed password for invalid user hero from 103.136.xxxxx port 33268 ssh2
Feb 16 18:00:42 838396123831 sshd[227760]: Failed password for invalid user ircbot from 103.136.xxxxx port 47546 ssh2

這是什麼意思?怎麼了?是否有任何其他人設法通過 ssh 登錄到伺服器?“最後一個”命令沒有列出除我之外的任何其他 IP 地址,所以……

netstat 命令為您提供 Linux 系統中發生的情況。首先,您的 Linux 伺服器直接暴露在網際網路上。攻擊者總是會嘗試猜測 SSH 服務的使用者名和密碼。

通過 SSH 連接到 Linux 伺服器的最安全方法是通過 VPN。這意味著 SSH 伺服器將位於 VPN 網關之後,並且只能通過 VPN 訪問。但 VPN 並不總是可行的。

鎖定 SSH 伺服器的最簡單方法是編輯/etc/ssh/sshd_conf文件。在此文件中,將允許 SSH的使用者列入白名單。由於某些使用者是移動使用者,或者他們的 ISP 正在使用動態 IP,因此源 IP 可能是騙局

保護 SSH 的更好的動態方法是安裝fail2ban

引用自:https://unix.stackexchange.com/questions/634833

相關問答

Linux

空埠中的埠轉發。但是“無法監聽埠”並且埠已被填滿

  • September 30, 2022
檢視問答
Linux

如何通過直接乙太網連接通過 SSH 連接到設備

  • May 18, 2021
檢視問答
Linux

無法通過 SSH 從主機 Mac OS 連接到來賓 Ubuntu:主機已關閉

  • September 20, 2020
檢視問答
Linux

檢查網路是否在電腦上?

  • November 3, 2022
檢視問答
Linux

強制所有 ssh 使用者使用 stty -echo

  • April 20, 2022
檢視問答
Linux

從遠端機器播放音頻到本地機器的揚聲器

  • December 21, 2021
檢視問答