제목에서 알 수 있듯이 다음 출력을 실행/지속적으로 관찰/모니터링하여 이를 발견했습니다.
lsof -i -P -n
ESTABLISHED내 로컬 IP와 다르며 SSH를 통한 연결 입니다 .
이것은 원격 서버에 있습니다. 실제로 성공적으로 로그인되었는지는 확실하지 않지만 앞서 언급한 명령의 출력이 ESTABLISHED해당 IP 주소 옆에 표시됩니다.
그래서 출력을 확인해 보니 last내 IP 외에 다른 IP는 전혀 발견되지 않았습니다. 또한 lsof출력에서 본 다른 IP는 몇 초 후에 사라졌습니다.
출력을 모니터링하려면 lsof다음을 사용합니다.
watch -n 1 lsof -i -P -n
위 명령의 샘플 출력은 다음과 같습니다.
sshd 935 user 4u IPv4 25823 0t0 TCP XX.XXX.XXX.XXX:XX->XX.XXX.XXX.XXX:XXXXX (ESTABLISHED)
두 번째 부분은 ->여기에 언급된 부분이고, 첫 번째 부분은 서버 자체의 IP입니다.
lastdo showconnections 와 같은 다른 도구에서 어떤 항목도 볼 수 없는 lsof경우(내 자신/이전 항목 제외) 이것이 정상입니까 ESTABLISHED?
/var/log출력 에 표시되지 않도록 해당 항목을 삭제할 수 있다는 것을 이미 알고 있지만 last언급된 IP가 너무 빨리(출력 후 10초 미만 ESTABLISHED) 사라져서 lsof성공적으로 로그인되었다는 것을 믿기 어렵습니다. ..
답변1
루트 /var/log/secure(Red Hat) 또는 /var/log/auth.log(Debian)에만 액세스 권한이 있습니다. 거기 가서 로그를 확인하세요.
또한 누군가가 SSH를 통해 서버에 연결을 시도할 때 인증이 필요하다는 점을 기억하세요. 인증 프로세스 동안 TCP 세션은 입니다 ESTABLISHED. 로그인 실패 후 세션이 빠르게 사라집니다. 이것이 ESTABLISHED세션이 나타나고 사라지는 것을 보는 이유입니다 . 이는 무차별 SSH 시도의 신호입니다.
SSH 서버를 잠그는 것도 고려할 수 있습니다.