Ubuntu

伺服器上無法辨識的 SSH 訪問?

  • February 17, 2017

我正在從 Digital Ocean 執行一個基本的 Ubuntu 伺服器,我使用 SSH 密鑰(儲存在我的桌面上)來訪問它。

我剛剛執行netstat -ap了以下結果:

Local Address     Foreign Address        State        PID
XX.XXX.XX.192  183.214.141.105:53929   ESTABLISHED 25193/sshd: root [p 

這不是我,我已經搜尋了 IP,它在許多禁止列表中,並且來自中國。

我的問題:

  1. 由於狀態為“已建立”,這是否意味著他們可以通過 SSH 訪問我的伺服器?還是這種蠻力試圖進入?

  2. 我的伺服器怎麼會被入侵?我不知道蠻力可以在 SSH 密鑰上工作嗎?他們不必在我的桌面上訪問我的密鑰嗎?

  1. 僅建立表示連接完全打開,可以傳輸數據。這並不一定意味著已經傳輸了任何數據!它並不暗示關於第 7 層的任何事情,無論有人是否已通過您的系統進行身份驗證。您可以檢查系統日誌以了解是否有人已成功通過身份驗證。(來源)

2)也許。您將需要檢查您的日誌並查看是否有人已成功通過身份驗證。在 Ubuntu 上,ssh 日誌可以在/var/log/auth

https://unix.stackexchange.com/questions/127432/logging-ssh-access-attempts

不要忘記您可以暴力破解 ssh 密鑰的密碼。

附帶說明一下,從公共密鑰重建私鑰目前在技術上是不可能的

https://security.stackexchange.com/questions/33238/brute-forcing-ssh-keys

我建議對sshFail2ban使用一些兩因素身份驗證

Fail2ban 掃描日誌文件(例如 /var/log/apache/error_log)並禁止顯示惡意跡象的 IP - 密碼失敗次數過多

引用自:https://serverfault.com/questions/833039