Ubuntu

伺服器上無法辨識的 SSH 訪問?

  • February 17, 2017

我正在從 Digital Ocean 執行一個基本的 Ubuntu 伺服器,我使用 SSH 密鑰(儲存在我的桌面上)來訪問它。

我剛剛執行netstat -ap了以下結果:

Local Address     Foreign Address        State        PID
XX.XXX.XX.192  183.214.141.105:53929   ESTABLISHED 25193/sshd: root [p

這不是我,我已經搜尋了 IP,它在許多禁止列表中,並且來自中國。

我的問題:

  1. 由於狀態為“已建立”,這是否意味著他們可以通過 SSH 訪問我的伺服器?還是這種蠻力試圖進入?

  2. 我的伺服器怎麼會被入侵?我不知道蠻力可以在 SSH 密鑰上工作嗎?他們不必在我的桌面上訪問我的密鑰嗎?

  1. 僅建立表示連接完全打開,可以傳輸數據。這並不一定意味著已經傳輸了任何數據!它並不暗示關於第 7 層的任何事情,無論有人是否已通過您的系統進行身份驗證。您可以檢查系統日誌以了解是否有人已成功通過身份驗證。(來源)

2)也許。您將需要檢查您的日誌並查看是否有人已成功通過身份驗證。在 Ubuntu 上,ssh 日誌可以在/var/log/auth

https://unix.stackexchange.com/questions/127432/logging-ssh-access-attempts

不要忘記您可以暴力破解 ssh 密鑰的密碼。

附帶說明一下,從公共密鑰重建私鑰目前在技術上是不可能的

https://security.stackexchange.com/questions/33238/brute-forcing-ssh-keys

我建議對sshFail2ban使用一些兩因素身份驗證

Fail2ban 掃描日誌文件(例如 /var/log/apache/error_log)並禁止顯示惡意跡象的 IP - 密碼失敗次數過多

引用自:https://serverfault.com/questions/833039

相關問答

Ubuntu

FIN-WAIT-1 是否意味著我被黑了?

  • February 17, 2022
檢視問答
Ubuntu

SSH 密鑰在 Hetzner 雲伺服器上更改/重新生成,我收到警報“遠端主機標識已更改”

  • December 15, 2021
檢視問答
Ubuntu

無法訪問我的伺服器“權限被拒絕(公鑰)”。

  • November 5, 2020
檢視問答
Ubuntu

Ubuntu - 在被阻止的埠上記錄嘗試失敗(SSH 不在這些埠上偵聽)

  • May 15, 2017
檢視問答
Ubuntu

為什麼fail2ban發現但不禁止

  • January 13, 2017
檢視問答
Ubuntu

如何永久禁止已與 unbuntu 16.04/nginx 伺服器建立 ssh 連接的 IP 地址

  • October 14, 2016
檢視問答