Acesso SSH não reconhecido no servidor?

5

Estou executando um servidor Ubuntu básico da Digital Ocean, que eu uso uma chave SSH (armazenada na minha área de trabalho) para acessar.

Acabei de executar netstat -ap com o seguinte resultado:

Local Address     Foreign Address        State        PID
XX.XXX.XX.192  183.214.141.105:53929   ESTABLISHED 25193/sshd: root [p 

Não sou eu, pesquisei o IP e ele está sob várias listas proibidas e é originário da China.

Minhas perguntas:

1) Como o estado é 'ESTABLISHED', isso significa que eles têm acesso ao meu servidor via SSH? Ou esta força bruta tenta entrar?

2) Como meu servidor pode ter sido comprometido? Eu não estou ciente de força bruta pode trabalhar em chaves SSH? Eles não teriam que acessar minha chave na minha área de trabalho?

    
por Brian Pence 16.02.2017 / 21:53

1 resposta

13

1) Estabelecido apenas significa que a conexão está totalmente aberta e os dados podem ser transmitidos. Isso não significa necessariamente que qualquer dado foi transmitido! Não implica em nada sobre a camada 7, se alguém se autenticou no seu sistema ou não. Você pode verificar seus registros do sistema para saber se alguém foi autenticado com sucesso. (source)

2) Talvez. Você precisará verificar seus logs e ver se alguém foi autenticado com sucesso. No Ubuntu, os logs do ssh podem ser encontrados em /var/log/auth

link

Não se esqueça de que você pode usar o bruteforce da senha de uma chave ssh.

Em uma nota lateral, reconstruir uma chave privada de uma pública é tecnicamente impossível no momento

link

Eu recomendaria usar alguns autenticação de dois fatores com ssh e Fail2ban

O Fail2ban verifica os arquivos de registro (por exemplo, / var / log / apache / error_log) e proíbe os IPs que exibem os sinais maliciosos - muitas falhas de senha

    
por 16.02.2017 / 21:59