Tentei verificar quem está se conectando ao meu servidor e recebi essa linha que não consegui reconhecer. Eu usei sudo lsof -i -n | egrep '\<ssh\>' .
E essas linhas parecem estranhas para mim:
sshd 5921 sshd 3u IPv4 66008 0t0 TCP 192.168.1.165:ssh->43.229.53.76:59
605 (ESTABLISHED)
sshd 5922 root 3u IPv4 66056 0t0 TCP 192.168.1.165:ssh->43.229.53.76:60
008 (ESTABLISHED)
sshd 5923 sshd 3u IPv4 66056 0t0 TCP 192.168.1.165:ssh->43.229.53.76:60
008 (ESTABLISHED)
sshd 5924 root 3u IPv4 66082 0t0 TCP 192.168.1.165:ssh->43.229.53.76:60
407 (ESTABLISHED)
O endereço é de Hong Kong e não sei por que isso poderia acontecer.
A conexão TCP estabelecida é provavelmente uma tentativa de autenticação, o que não significa que a autenticação foi bem-sucedida. É provavelmente apenas um ruído, mas é claro, você deve verificar os PIDs como proposto no comentário, se o processo sshd estiver no modo [preauth] ou [postauth] - deve estar visível em% normalps.
Tags sshd