FIN-WAIT-1 是否意味著我被黑了？

我對伺服器安全非常陌生，這是我在這裡的第一篇文章。最近，我的伺服器經歷了多次來自未知來源的 SSH 登錄嘗試。

幾分鐘前，我登錄到伺服器並決定tcp通過發出ss -t命令來檢查套接字，並發現了一個處於FIN-WAIT-1狀態的套接字。我不知道該怎麼想。有人成功連接了嗎？

State                Recv-Q            Send-Q                        Local Address:Port                         Peer Address:Port            
FIN-WAIT-1           0                 69                            139.132.21.45:ssh                        123.156.225.58:36092

命令也last給了我這些條目，但我今天沒有以 root 身份登錄。

root     ttyS0                         Tue Nov  2 17:10   still logged in
reboot   system boot  4.15.0-161-gener Tue Nov  2 17:10   still running

我應該擔心嗎？

有人成功連接了嗎？

是的，但這實際上並不意味著什麼；它只是說建立了一個 TCP 連接然後關閉。與遠端使用者能夠做什麼或不能做什麼沒有關係。

舉個例子：您使用 SSH 連接到遠端主機，然後您提供了錯誤的憑據；伺服器將關閉連接。伺服器關閉的連接將（一段時間）進入 FIN-WAIT-1 狀態。但實際上沒有人記錄它，這只是一次失敗的登錄嘗試。

我的伺服器經歷了許多來自未知來源的 SSH 登錄嘗試。

如果您在失敗後立即擷取其中一個嘗試，那麼處於 FIN-WAIT-1 狀態的套接字正是您在網路級別看到的。

---

說了以上所有，你應該在你的伺服器前面放置某種防火牆（或者至少將系統防火牆配置為只允許來自已知的、受信任的來源的登錄）；如果您將任何電腦暴露在公共遠端管理埠（SSH、RDP 等）上的公共 Internet 上，那麼您只是在自找麻煩。

引用自：https://serverfault.com/questions/1082446