Processo ssh de raiz suspeita

Navegue suas respostas
1

Um amigo meu me envia isso. Ele tem medo de que o processo 7680 seja um intruso. É possível ? Poderia ser que ele tivesse executado um comando sudo (que teria bifurcado uma concha?). Ele mencionou a conexão em ssh para a máquina alvo recentemente. 

ps aux|grep ssh
 root       681  0.0  0.0   6308   668 ?        Ss   Feb22   0:00 /usr/sbin/sshd
 fanfan     898  0.0  0.0   4024   152 ?        Ss   Feb22   0:00 /usr/bin/ssh-agent -s
 root     26308  0.3  0.0   7680  2340 ?        Ss   12:05   0:00 sshd: [accepted]
 nobody   26309  0.0  0.0   7652  1068 ?        S    12:05   0:00 sshd: [net]
 root     26311  0.0  0.0    964   160 pts/2    D+   12:05   0:00 grep ssh
    
por qdii 27.02.2012 / 15:12

1 resposta

4

Certamente pode ser alguém tentando estabelecer uma sessão ssh com o computador. Dependendo do sistema operacional que você está usando, essas sessões serão registradas.

Geralmente eles estão conectados em um dos arquivos abaixo: 

/var/log/syslog
/var/log/auth
/var/log/auth.log
/var/log/secure
/var/logs/system.log

Se você não encontrar nada, tente executar esses comandos com privilégios de root para ter uma ideia de onde procurar: 

grep -ir ssh /var/log/*
grep -ir sshd /var/log/*
grep -ir breakin /var/log/*
grep -ir security /var/log/*

Veja se algum IP, nome de host ou aviso suspeito aparece nos logs. Se assim for, você pode colocá-los na lista negra.

Se você reinicializar o computador, as sessões remanescentes do SSH devem ser dissolvidas. Portanto, se esses processos continuarem gerando sem que seu amigo use o SSH, algo ou alguém estará se conectando ao computador.

    
por 27.02.2012 / 15:27

Tags

Como alternar entre janelas diferentes no mesmo quadro sem usar o mouse? Configuração SSD mais confiável