Netstat mostrando várias conexões para login no ssh

Question

Netstat mostrando várias conexões para login no ssh

#1 resposta do (0 votos)

1

Eu conecto ao meu servidor via ssh. Eu sou a única pessoa que tem acesso para se conectar ao servidor. Depois de conectar via ssh, eu corro o seguinte comando:

sudo netstat -tupn

A saída inclui as duas linhas seguintes:

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address
tcp        0      0 MY.SERVER.IP.ADDRESS:22       MY.HOME.IP.ADDRESS:54886     ESTABLISHED 18677/0
tcp        0    324 MY.SERVER.IP.ADDRESS:22       MY.HOME.IP.ADDRESS:55096     ESTABLISHED 18843/1

Baseado no meu conhecimento limitado, parece que essas duas linhas da saída estão relacionadas à minha conexão ssh. Acredito que isso seja verdade porque a porta é 22 e o endereço externo é o endereço IP da minha casa.

Estou tentando entender o que essas duas linhas representam. Por que existem duas conexões mostradas para minha única conexão ssh?

Além disso, o netstat poderia usar uma boa ferramenta para ver se alguém obteve acesso não autorizado ao meu servidor? Se alguém fizesse, eu veria a conexão deles na saída do netstat?

ssh netstat ubuntu

por flyingL123 27.08.2015 / 02:59

1 resposta

Tags ssh netstat ubuntu

Nginx dando erro 404 para o WordPress '/ wp-admin / root openVPN - consultas de DNS do cliente

score 0 · Answer 1

As linhas parecem indicar 2 conexões ssh ativas ( ESTABLISHED state) de sua máquina doméstica (uma talvez a partir de uma operação scp em andamento ou uma sessão ssh de um terminal diferente ou algum shell em segundo plano?).

As linhas incluem os PIDs para os processos aos quais eles correspondem na última coluna, 18677 e 18843 no seu caso. Você pode verificar quais processos eles são ( ps -ef | grep <PID> ). Para conexões ssh normais, eles seriam sshd process.

Você também pode descobrir quais PIDs na sua máquina doméstica correspondem, executando sudo netstat -tupn em sua máquina doméstica, e veria algo nesse sentido (observe os valores correspondentes de IP_ADDRESS: PORT_NUM, mas com os valores locais e estrangeiros / colunas de endereços remotos invertidas):

Proto Recv-Q Send-Q Local Address                  Foreign Address             State       PID/...

tcp        0      0 MY.HOME.IP.ADDRESS:54886       MY.SERVER.IP.ADDRESS:22     ESTABLISHED PID1/...
tcp        0      0 MY.HOME.IP.ADDRESS:55096       MY.SERVER.IP.ADDRESS:22     ESTABLISHED PID2/...

A partir dos pids correspondentes, você pode encontrar os processos correspondentes, seus pais, etc.

Sim, netstat é uma boa ferramenta para usar. Enquanto o acesso não autorizado não conseguir contornar de alguma forma a forma como netstat funciona (que IMHO é possível, mas não muito provável para ataques comuns) você deve ser capaz de ver essas conexões ativas e talvez até mesmo traços daqueles terminar ou terminar muito recentemente (afirma gostar de TIME_WAIT ou CLOSE_WAIT ).