Atividade de rede suspeita: sshd proces aparecendo com lsof

Question

Atividade de rede suspeita: sshd proces aparecendo com lsof

#1 resposta do (2 votos)

0

Eu tenho um Raspberry Pi rodando Debian Jessie. Eu tenho pi-hole instalado para bloquear domínios de veiculação de anúncios ( link ). Passando pelos registros, notei muitas consultas de um domínio chinês.

lsof -i mostra-me a seguinte lista que suspeito:

> sshd      1742             root    3u  IPv4  16960      0t0  TCP
> raspberrypi:ssh->116.31.116.47:50600 (ESTABLISHED) sshd      1743     
> sshd    3u  IPv4  16960      0t0  TCP
> raspberrypi:ssh->116.31.116.47:50600 (ESTABLISHED) sshd      1774     
> root    3u  IPv4  16990      0t0  TCP
> raspberrypi:ssh->183.214.141.105:56265 (ESTABLISHED) sshd      1775   
> sshd    3u  IPv4  16990      0t0  TCP
> raspberrypi:ssh->183.214.141.105:56265 (ESTABLISHED) sshd      1869   
> root    3u  IPv4  17068      0t0  TCP
> raspberrypi:ssh->116.31.116.47:33525 (ESTABLISHED) sshd      1870     
> sshd    3u  IPv4  17068      0t0  TCP
> raspberrypi:ssh->116.31.116.47:33525 (ESTABLISHED) sshd      1910     
> root    3u  IPv4  17122      0t0  TCP
> raspberrypi:ssh->116.31.116.47:35816 (ESTABLISHED) sshd      1911     
> sshd    3u  IPv4  17122      0t0  TCP
> raspberrypi:ssh->116.31.116.47:35816 (ESTABLISHED) sshd      1931     
> root    3u  IPv4  17158      0t0  TCP
> raspberrypi:ssh->116.31.116.47:49492 (ESTABLISHED) sshd      1932     
> sshd    3u  IPv4  17158      0t0  TCP
> raspberrypi:ssh->116.31.116.47:49492 (ESTABLISHED) sshd      1935     
> root    3u  IPv4  17163      0t0  TCP
> raspberrypi:ssh->183.214.141.105:23828 (ESTABLISHED) sshd      1936   
> sshd    3u  IPv4  17163      0t0  TCP
> raspberrypi:ssh->183.214.141.105:23828 (ESTABLISHED) sshd      1937   
> root    3u  IPv4  17168      0t0  TCP
> raspberrypi:ssh->116.31.116.47:53628 (ESTABLISHED) sshd      1938     
> sshd    3u  IPv4  17168      0t0  TCP
> raspberrypi:ssh->116.31.116.47:53628 (ESTABLISHED) sshd      1940     
> root    3u  IPv4  17176      0t0  TCP
> raspberrypi:ssh->116.31.116.47:57858 (ESTABLISHED) sshd      1941     
> sshd    3u  IPv4  17176      0t0  TCP
> raspberrypi:ssh->116.31.116.47:57858 (ESTABLISHED) sshd      1944     
> root    3u  IPv4  17194      0t0  TCP
> raspberrypi:ssh->183.214.141.105:28355 (ESTABLISHED) sshd      1945   
> sshd    3u  IPv4  17194      0t0  TCP
> raspberrypi:ssh->183.214.141.105:28355 (ESTABLISHED)

Eu já mudei a minha senha, reiniciei o meu Pi e verifiquei algum usuário desconhecido (que não havia nenhum). Como faço para manter meu Pi seguro novamente?

sshd security lsof

por Vincent 12.01.2017 / 04:20

1 resposta

Tags sshd security lsof

Como fazer backslash de uma string dinâmica no bash ctrl + alt + f7 não pode comutar [fechado]

score 2 · Accepted Answer

Pode ou não haver uma violação de segurança.

Pode ser apenas um idiota tentando usar senhas de crack de força bruta. Se eles se conectarem, tentarem uma senha, ela falhar, eles não tentarem outra ou fechar a conexão, então você poderá ver essas conexões que eventualmente serão fechadas pelo sshd.

/var/log/auth.log

deve ter alguma informação sobre as tentativas de login. o comando last pode mostrar logins bem-sucedidos.