As linhas parecem indicar 2 conexões ssh ativas ( ESTABLISHED
state) de sua máquina doméstica (uma talvez a partir de uma operação scp
em andamento ou uma sessão ssh
de um terminal diferente ou algum shell em segundo plano?).
As linhas incluem os PIDs para os processos aos quais eles correspondem na última coluna, 18677
e 18843
no seu caso. Você pode verificar quais processos eles são ( ps -ef | grep <PID>
). Para conexões ssh normais, eles seriam sshd
process.
Você também pode descobrir quais PIDs na sua máquina doméstica correspondem, executando sudo netstat -tupn
em sua máquina doméstica, e veria algo nesse sentido (observe os valores correspondentes de IP_ADDRESS: PORT_NUM, mas com os valores locais e estrangeiros / colunas de endereços remotos invertidas):
Proto Recv-Q Send-Q Local Address Foreign Address State PID/...
tcp 0 0 MY.HOME.IP.ADDRESS:54886 MY.SERVER.IP.ADDRESS:22 ESTABLISHED PID1/...
tcp 0 0 MY.HOME.IP.ADDRESS:55096 MY.SERVER.IP.ADDRESS:22 ESTABLISHED PID2/...
A partir dos pids correspondentes, você pode encontrar os processos correspondentes, seus pais, etc.
Sim, netstat
é uma boa ferramenta para usar. Enquanto o acesso não autorizado não conseguir contornar de alguma forma a forma como netstat
funciona (que IMHO é possível, mas não muito provável para ataques comuns) você deve ser capaz de ver essas conexões ativas e talvez até mesmo traços daqueles terminar ou terminar muito recentemente (afirma gostar de TIME_WAIT
ou CLOSE_WAIT
).