タイトルが示すように、次の出力を実行/継続的に監視/監視することでこれを発見しました。
lsof -i -P -n
ESTABLISHED
私のローカルIPとは異なり、SSH経由の接続です。
これはリモートサーバーにあります。実際に正常にログインしたかどうかはわかりませんが、前述のコマンドの出力はESTABLISHED
そのIPアドレスの横に表示されます。
だから、出力を確認してみると、last
私のIP以外の他のIPはまったく見つかりませんでした。また、lsof
出力から見た他のIPは数秒後に消えました。
出力を監視するには、lsof
次を使用します。
watch -n 1 lsof -i -P -n
上記のコマンドの出力例は次のとおりです。
sshd 935 user 4u IPv4 25823 0t0 TCP XX.XXX.XXX.XXX:XX->XX.XXX.XXX.XXX:XXXXX (ESTABLISHED)
2番目の部分は->
ここで言及されている部分であり、1番目の部分はサーバー自体のIPです。
last
do showconnectionsなどの他のツールで何も表示できないlsof
場合(自分/前の項目を除く)、これは正常ですかESTABLISHED
?
/var/log
出力に表示されないようにそのエントリを削除できることは既にわかっていますが、言及されたlast
IPが早すぎる(出力後10秒未満ESTABLISHED
)消えてlsof
正常にログインしたことは信じられません。 ..
ベストアンサー1
root /var/log/secure
(Red Hat) または/var/log/auth.log
(Debian) にのみアクセス権があります。そこに行き、ログを確認してください。
また、誰かがSSHを介してサーバーに接続しようとするときに認証が必要であることを覚えておいてください。認証プロセス中のTCPセッションはですESTABLISHED
。ログインに失敗すると、セッションはすぐに消えます。これがESTABLISHED
セッションが現れて消えるのを見る理由です。これは無差別SSH試行のシグナルです。
SSH サーバーをロックすることも検討できます。