faz netstat estabelecido significa que alguém é ssh'd em minha máquina

1

eu corri o comando netstat -lat

e eu tenho essa saída ...

...
tcp        0      0 my.machine.ip.add:ssh       116.31.116.48:43270     ESTABLISHED
tcp        0      0 my.machine.ip.add:ssh       my.home.ip.add:55732    ESTABLISHED
...

Eu pesquisei o IP e definitivamente não é um que deveria ter acesso à minha máquina. o que significa ESTABLISHED significa que eles estão tentando se conectar? (Eu vejo muitas tentativas fracassadas deste endereço no meu auth.log) ou isso significa que elas estão conectadas?

    
por deltaskelta 16.11.2016 / 05:31

2 respostas

2

"ESTABLISHED" significa apenas que a conexão é estabelecida na camada TCP; não lhe diz muito sobre se eles autenticaram. A sequência geral é:

  1. A conexão TCP do cliente (/ atacante) para o servidor é estabelecida
  2. Tentativas do cliente para autenticar
  3. Se o cliente tiver êxito na autenticação, o cliente faz ... algo sobre a conexão. A conexão TCP permanece "ESTABLISHED" até que eles se desconectem.
  4. Se o cliente não conseguir autenticar (geralmente após 3 tentativas), o servidor descartará a conexão.

Se alguém estiver executando um ataque de adivinhação de senha contra você e você verificar enquanto ele está tentando senhas, verá uma conexão "ESTABLISHED". Se eles não atrasarem entre as tentativas (ou seja, assim que uma tentativa de conexão falhar, reconecte e tente novamente), então você sempre verá uma conexão "ESTABLISHED".

Por outro lado, se você perceber que a mesma conexão permanece ativa por algum tempo (ou seja, os mesmos números remotos de IP e porta, em vez de alterar continuamente os números das portas), então alguém entrou ou está esperando por um muito tempo entre adivinhações de senha. Nesse caso, você deve se preocupar.

Mas se você realmente quiser saber o que está acontecendo, verifique os registros! (Como Ipor Sircer disse em um comentário.) A menos que um invasor os tenha limpado, eles serão muito mais informativos do que apenas olhar para conexões TCP.

Além disso, como você está sob ataque (o que é automático, já que você tem ssh exposto na internet), certifique-se de que o serviço ssh esteja devidamente bloqueado ! Desative o login root, limite os usuários que podem efetuar login, certifique-se de usar senhas difíceis de adivinhar e (se possível) desative as senhas em favor da autenticação de chave pública.

    
por 16.11.2016 / 06:55
0

ESTABLISHED significa que o soquete tcp está no estado estabelecido, ou seja, a conexão está ativa no momento.

A tupla do soquete tcp é:

(my.machine.ip.add:ssh, 116.31.116.48:43270)

em que o endpoint local é my.machine.ip.add:ssh e o endpoint remoto é 116.31.116.48:43270 .

Com certeza, o cliente ssh de 116.31.116.48 está conectado ao serviço ssh do seu computador.

    
por 16.11.2016 / 05:39