muitas conexões ssh sendo repetidamente abertas pelo mesmo usuário no servidor linux

Question

muitas conexões ssh sendo repetidamente abertas pelo mesmo usuário no servidor linux

#1 resposta do (0 votos)

0

ps aux me dá algo assim:

root     30800  0.0  0.3 101792  6360 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30812  0.0  0.1 101792  3680 ?        S    17:23   0:00 sshd: user_name
root     30819  0.0  0.3 101792  6304 ?        Ss   17:01   0:00 sshd: user_name [priv]
root     30866  0.0  0.3 101792  6420 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30868  0.0  0.1 101792  3720 ?        S    17:23   0:00 sshd: user_name
root     30919  0.0  0.3 101792  6312 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30921  0.0  0.1 101792  3680 ?        S    17:23   0:00 sshd: user_name
root     30964  0.0  0.3 101792  6356 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30966  0.0  0.1 101792  3700 ?        S    17:24   0:00 sshd: user_name
user_na+ 30983  0.0  0.1 101792  3560 ?        S    17:01   0:00 sshd: user_name
root     31065  0.0  0.3 101792  6392 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31069  0.0  0.1 101792  3620 ?        S    17:24   0:00 sshd: user_name
root     31130  0.0  0.3 101792  6416 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31134  0.0  0.1 101792  3688 ?        S    17:24   0:00 sshd: user_name
root     31169  0.0  0.3 101792  6308 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31175  0.0  0.1 101792  3492 ?        S    17:24   0:00 sshd: user_name
root     31212  0.0  0.3 101792  6452 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31216  0.0  0.1 101792  3772 ?        S    17:24   0:00 sshd: user_name
root     31269  0.0  0.3 101792  6292 ?        Ss   17:24   0:00 sshd: user_name [priv]

Esta é apenas uma lista abreviada, existem cerca de 150 linhas.

depois que eu tentei matá-los, novas conexões sshd estavam sendo geradas.

O usuário "user_name" está desabilitado, se eu cat / etc / passwd | grep user_name, eu entendi isto:

user_name:x:1521:1521::/home/user_name:/usr/sbin/nologin

Alguém está tentando invadir aqui ou como eu posso descobrir o que está acontecendo aqui?

ssh linux

por Dragan Matic 27.02.2018 / 19:37

1 resposta

Tags ssh linux

A rede não se conectará ao Linux Convertendo arquivos mp4 e copiando através de diretórios

score 0 · Answer 1

É possível que user_name tenha um arquivo ~user_name/.ssh/authorized_keys , que, se você permitir logins baseados em chave no seu sshd_config , também pode ignorar restrições baseadas em senha nos logins, dependendo da sua configuração de autenticação. Por exemplo, os sistemas baseados em pam geralmente têm uma configuração de conexão ssh separada (consulte /etc/pam.d/sshd ). Além disso, só porque o shell de login de user_name é /usr/sbin/nologin não significa que ssh conexões não podem ser feitas, se o cliente estiver especificando um comando a ser executado como parte da conexão.

Quanto a se você é o sujeito de um ataque, não posso dizer. Você pode ver quais outros processos pertencem a esse ID de usuário.