タイトルが示すように、次の出力を実行/継続的に監視/監視することでこれを発見しました。
lsof -i -P -n
ESTABLISHED私のローカルIPとは異なり、SSH経由の接続です。
これはリモートサーバーにあります。実際に正常にログインしたかどうかはわかりませんが、前述のコマンドの出力はESTABLISHEDそのIPアドレスの横に表示されます。
だから、出力を確認してみると、last私のIP以外の他のIPはまったく見つかりませんでした。また、lsof出力から見た他のIPは数秒後に消えました。
出力を監視するには、lsof次を使用します。
watch -n 1 lsof -i -P -n
上記のコマンドの出力例は次のとおりです。
sshd 935 user 4u IPv4 25823 0t0 TCP XX.XXX.XXX.XXX:XX->XX.XXX.XXX.XXX:XXXXX (ESTABLISHED)
2番目の部分は->ここで言及されている部分であり、1番目の部分はサーバー自体のIPです。
lastdo showconnectionsなどの他のツールで何も表示できないlsof場合(自分/前の項目を除く)、これは正常ですかESTABLISHED?
/var/log出力に表示されないようにそのエントリを削除できることは既にわかっていますが、言及されたlastIPが早すぎる(出力後10秒未満ESTABLISHED)消えてlsof正常にログインしたことは信じられません。 ..
ベストアンサー1
root /var/log/secure(Red Hat) または/var/log/auth.log(Debian) にのみアクセス権があります。そこに行き、ログを確認してください。
また、誰かがSSHを介してサーバーに接続しようとするときに認証が必要であることを覚えておいてください。認証プロセス中のTCPセッションはですESTABLISHED。ログインに失敗すると、セッションはすぐに消えます。これがESTABLISHEDセッションが現れて消えるのを見る理由です。これは無差別SSH試行のシグナルです。
SSH サーバーをロックすることも検討できます。