extra raiz do sshd

Question

extra raiz do sshd

#1 resposta do (2 votos)

1

Eu entrei no meu servidor rodando o Centos 7 via ssh e executei o seguinte comando:

[me@server ~]$ ps -ef --forest | grep ssh

root     476     1  0 Dec02 ?       00:00:00 /usr/sbin/sshd -D
root   12366   476  0 23:26 ?       00:00:00  \_ sshd: me[priv]
me     12368 12366  0 23:27 ?       00:00:00  |   \_ sshd: me@pts/0
me     12405 12369  0 23:27 pts/0   00:00:00  |           \_ grep --color=auto ssh
root   12401   476  0 23:27 ?       00:00:00  \_ sshd: root [priv]
sshd   12402 12401  0 23:27 ?       00:00:00      \_ sshd: root [net]
me     12399     1  0 23:27 ?       00:00:00 ssh-agent

Qual é o segundo processo filho sshd (PID = 12401) de propriedade do root? Poderia ser alguma conexão maliciosa?

(Após desabilitar o acesso root via ssh, este processo não aparece.)

ssh ps

por Skeeve 04.12.2015 / 08:57

1 resposta

Tags ssh ps

Alterando o tipo de instância da AWS e retendo a vinculação HTTPS Haproxy 1.5x recarrega a configuração sem terminar as sessões da camada 7?

score 2 · Accepted Answer

Neste exemplo, você vê este par de processos:

root   12401   476  0 23:27 ?       00:00:00  \_ sshd: root [priv]
sshd   12402 12401  0 23:27 ?       00:00:00      \_ sshd: root [net]

que é bem diferente do seu par:

root   12366   476  0 23:26 ?       00:00:00  \_ sshd: me[priv]
me     12368 12366  0 23:27 ?       00:00:00  |   \_ sshd: me@pts/0

O processo sshd: root [priv] é privilegiado do daemon aguardando que sshd: root [net] child autentique. Isso significa que, no momento em que você fez ps , houve alguma tentativa de autenticação em andamento, em que root usuário estava tentando efetuar login.

Isso não é raro em IPs públicos e com sshd serviços sendo executados na porta padrão. Você pode obter centenas dessas tentativas todos os dias, mas se você tiver uma senha strong, isso não é perigoso.