Ubuntu

FIN-WAIT-1 是否意味著我被黑了?

  • February 17, 2022

我對伺服器安全非常陌生,這是我在這裡的第一篇文章。最近,我的伺服器經歷了多次來自未知來源的 SSH 登錄嘗試。

幾分鐘前,我登錄到伺服器並決定tcp通過發出ss -t命令來檢查套接字,並發現了一個處於FIN-WAIT-1狀態的套接字。我不知道該怎麼想。有人成功連接了嗎?

State                Recv-Q            Send-Q                        Local Address:Port                         Peer Address:Port            
FIN-WAIT-1           0                 69                            139.132.21.45:ssh                        123.156.225.58:36092

命令也last給了我這些條目,但我今天沒有以 root 身份登錄。

root     ttyS0                         Tue Nov  2 17:10   still logged in
reboot   system boot  4.15.0-161-gener Tue Nov  2 17:10   still running

我應該擔心嗎?

有人成功連接了嗎?

是的,但這實際上並不意味著什麼;它只是說建立了一個 TCP 連接然後關閉。與遠端使用者能夠做什麼或不能做什麼沒有關係。

舉個例子:您使用 SSH 連接到遠端主機,然後您提供了錯誤的憑據;伺服器將關閉連接。伺服器關閉的連接將(一段時間)進入 FIN-WAIT-1 狀態。但實際上沒有人記錄它,這只是一次失敗的登錄嘗試。

我的伺服器經歷了許多來自未知來源的 SSH 登錄嘗試。

如果您在失敗後立即擷取其中一個嘗試,那麼處於 FIN-WAIT-1 狀態的套接字正是您在網路級別看到的。


說了以上所有,你應該在你的伺服器前面放置某種防火牆(或者至少將系統防火牆配置為只允許來自已知的、受信任的來源的登錄);如果您將任何電腦暴露在公共遠端管理埠(SSH、RDP 等)上的公共 Internet 上,那麼您只是在自找麻煩。

引用自:https://serverfault.com/questions/1082446