Eu tentei descobrir porque eu tinha algumas conexões estranhas no meu arquivo de log seguro. Algo parecido com isto:
Apr 23 11:35:43 li192-61 sshd[11651]: Did not receive identification string from 127.0.0.1
Apr 23 11:35:49 li192-61 sshd[11661]: Connection closed by UNKNOWN
Eu tive muitas dessas conexões, cada minuto precisamente. Então usei o comando netstat como netstat -ta --numeric-ports --program | grep 22 para obter mais informações. Eu tenho isso (eu removi minha própria conexão ssh):
tcp 0 0 localhost:56145 localhost:22 TIME_WAIT -
Em seguida, tentei descobrir qual deles está usando essa porta, por isso usei lsof -i :22 e não consegui nada, exceto minha própria conexão.
Depois que eu lancei novamente o comando netstat , recebi o seguinte:
tcp 0 0 localhost:45979 localhost:22 TIME_WAIT -
Uma nova porta está usando como destino remoto de localhost através da porta 22. É a mesma coisa a cada minuto.
Não tenho mais ideias agora. Então esta minha pergunta:
Existe uma maneira de obter todos os processos que estão usando a conexão ssh ou obter todos os processos que estão tentando se conectar a uma porta específica (por exemplo: 45979)?
Obrigado pelo seu tempo!
Existe um post aqui que sugere que esse tipo de resultado quando você tem 2 processos sshd concorrentes tentando se ligar à mesma porta.
Você pode querer obter um console local e executar service sshd stop e, em seguida, verificar ps -ef | grep sshd para qualquer servidor sshd não autorizado que não esteja sob o controle do wrapper de serviço.
Se você olhar os cabeçalhos do netstat:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
Você verá que a porta "aleatória" alta é o endereço local. Um programa que estabeleceu uma conexão de saída requer uma porta na qual receber respostas do servidor remoto. Ele recebe uma porta em um intervalo alto para isso.
O que você está vendo são conexões SSH de um aplicativo / script local para o host local.
No entanto, parece que a conexão não pode ser estabelecida por algum motivo. O aplicativo não se autentica adequadamente.
Portanto, você não está procurando por um aplicativo que se conecte à porta 45979, mas que esteja conectado à porta 22 no host local. O mais provável é simplesmente ssh localhost .
Verifique os horários em que as conexões são feitas e, em seguida, verifique seu agendamento de cron e / ou registros do cron para esses horários.
Correlacione os IDs do processo de todas essas tentativas de conexão falsas com as que você está usando; o ID do processo de sua própria conexão não deve mudar.
Em caso afirmativo, alguma configuração está fazendo com que sua conexão se reconecte várias vezes (isso é possível no SSH sem perda de conectividade)