제목에서 알 수 있듯이 다음 출력을 실행/지속적으로 관찰/모니터링하여 이를 발견했습니다.
lsof -i -P -n
ESTABLISHED
내 로컬 IP와 다르며 SSH를 통한 연결 입니다 .
이것은 원격 서버에 있습니다. 실제로 성공적으로 로그인되었는지는 확실하지 않지만 앞서 언급한 명령의 출력이 ESTABLISHED
해당 IP 주소 옆에 표시됩니다.
그래서 출력을 확인해 보니 last
내 IP 외에 다른 IP는 전혀 발견되지 않았습니다. 또한 lsof
출력에서 본 다른 IP는 몇 초 후에 사라졌습니다.
출력을 모니터링하려면 lsof
다음을 사용합니다.
watch -n 1 lsof -i -P -n
위 명령의 샘플 출력은 다음과 같습니다.
sshd 935 user 4u IPv4 25823 0t0 TCP XX.XXX.XXX.XXX:XX->XX.XXX.XXX.XXX:XXXXX (ESTABLISHED)
두 번째 부분은 ->
여기에 언급된 부분이고, 첫 번째 부분은 서버 자체의 IP입니다.
last
do showconnections 와 같은 다른 도구에서 어떤 항목도 볼 수 없는 lsof
경우(내 자신/이전 항목 제외) 이것이 정상입니까 ESTABLISHED
?
/var/log
출력 에 표시되지 않도록 해당 항목을 삭제할 수 있다는 것을 이미 알고 있지만 last
언급된 IP가 너무 빨리(출력 후 10초 미만 ESTABLISHED
) 사라져서 lsof
성공적으로 로그인되었다는 것을 믿기 어렵습니다. ..
답변1
루트 /var/log/secure
(Red Hat) 또는 /var/log/auth.log
(Debian)에만 액세스 권한이 있습니다. 거기 가서 로그를 확인하세요.
또한 누군가가 SSH를 통해 서버에 연결을 시도할 때 인증이 필요하다는 점을 기억하세요. 인증 프로세스 동안 TCP 세션은 입니다 ESTABLISHED
. 로그인 실패 후 세션이 빠르게 사라집니다. 이것이 ESTABLISHED
세션이 나타나고 사라지는 것을 보는 이유입니다 . 이는 무차별 SSH 시도의 신호입니다.
SSH 서버를 잠그는 것도 고려할 수 있습니다.