私はコマンドを実行しましたnetstat -lat
この出力を得ました...
...
tcp 0 0 my.machine.ip.add:ssh 116.31.116.48:43270 ESTABLISHED
tcp 0 0 my.machine.ip.add:ssh my.home.ip.add:55732 ESTABLISHED
...
IPを確認しましたが、確かに自分のコンピュータにアクセスしてはいけません。それでは、ESTABLISHED接続を試みているという意味ですか? (私のauth.logにこのアドレスで失敗した試みがたくさんあります。)それとも接続されていますか?
ベストアンサー1
「ESTABLISHED」は、接続がTCP層で確立されたことを意味するだけであり、認証の有無については何も通知しません。一般的な順序は次のとおりです。
- クライアント(/attacker)からサーバーへのTCP接続の設定
- クライアントが認証を試みます。
- クライアントが正常に認証されると、クライアントは接続を介して特定のタスクを実行します。 TCP接続は、接続が切断されるまで「設定された」状態のままです。
- クライアントが認証できない場合(通常3回試行した後)、サーバーの接続が失われます。
誰かがあなたにパスワード推測攻撃を試み、彼らがパスワードを試している間にあなたがチェックインすると、「設定された」接続が表示されます。試行間に遅延がない場合(つまり、1回の接続試行が失敗した場合に再接続して再試行する場合)、ほぼ常に「設定済み」接続が表示されます。
一方、同じ接続がしばらく同じままである場合(つまり、ポート番号を絶えず変更せずに同じリモートIPとポート番号)、誰かが接続したかしばらくぶら下がっていたのです。パスワード推測の間に長い時間がかかります。このような場合は心配する必要があります。
しかし、何が起こっているのか本当に知りたい場合は、ログをチェックしてください! (Ipor Sircerがコメントで述べたように)攻撃者がそれをクリアしない限り、TCP接続を見るよりも多くの情報を提供します。
また、攻撃を受けているため(sshがインターネットにさらされているため自動的に発生します)、SSHサービスは正しいロック!ルートログインを無効にし、ログインできる人を制限し、推測しにくいパスワードを使用し、可能であれば公開鍵認証のためにパスワードを無効にします。