A porta 22 está aceitando conexões, mas não está visível em netstat, não mostra

1

Então eu tenho esse problema estranho em que uma das minhas caixas está aceitando conexão na porta ssh (22) mesmo depois que o sshd é interrompido. Tentei identificar o processo de escuta pelos meios típicos

sudo netstat -antp | grep 22  # nothing
sudo unhide-tcp   # no hidden tcp ports

Quando tento conectar-me à porta 22, ele solicita uma senha, mesmo que eu tenha uma autenticação baseada na chave de configuração nessa máquina.

Eu tenho medo se houver um rootkit ou algum malware semelhante em minha máquina.

Você já viu algo assim antes?

OS - Ubuntu 14.04 LTS

    
por madaboutcode 08.05.2015 / 08:20

2 respostas

1

Se este é realmente um processo oculto, e você não está cometendo algum tipo de erro (como o inetd mencionado acima por Uwe), tente isto:

  • Bombardeie a porta 22 com muitas conexões falsas diretamente da ethernet
  • Veja o que aparece na parte superior
  • Se nada aparecer, pelo menos veja se a carga aumenta significativamente

Para que tudo isso aconteça, você deve saciar o restante do tráfego, portanto, em um servidor de produção, isso pode ser problemático.

    
por 08.05.2015 / 10:44
0

Mesmo se você tiver um mecanismo de autenticação baseado em chave de configuração - ele deve ser feito por meio de um protocolo como o ssh. mas no seu caso você pode pls tente abaixo:

Login no servidor e

tail -f /var/log/secure

depois de outro terminal, tente logar e ver quais são os registros registrados lá.

Verifique se o SSH está configurado para escutar em outra porta também - no arquivo sshd_config

Verifique o iptables - veja se há algum encaminhamento de porta verifique o processo

sudo ps -ef |grep -i ssh

Verifique novamente com netstat todos os processos cuidadosamente

netstat -tulpn

    
por 08.05.2015 / 16:07