web-dev-qa-db-ja.com

サーバーで認識されないSSHアクセス?

Digital Oceanから基本的なUbuntuサーバーを実行しています。このサーバーには、SSHキー(デスクトップに保存されている)を使用してアクセスします。

netstat -apを実行したところ、次の結果が得られました。

Local Address     Foreign Address        State        PID
XX.XXX.XX.192  183.214.141.105:53929   ESTABLISHED 25193/sshd: root [p 

これは私ではありません。私はIPを検索しましたが、それは多くの禁止リストの下にあり、中国から発信されています。

私の質問:

1)状態は「ESTABLISHED」ですが、SSH経由でサーバーにアクセスできるということですか?それとも、このブルートフォースは侵入を試みていますか?

2)サーバーがどのように侵害された可能性がありますか?ブルートフォースがSSHキーで機能することを知りませんか?彼らは私のデスクトップ上の私の鍵にアクセスする必要はありませんか?

5
Brian Pence

1)確立されたということは、接続が完全に開いていて、データを送信できることを意味します。必ずしもデータが送信されたことを意味するわけではありません。誰かがあなたのシステムに認証したかどうかにかかわらず、それはレイヤー7について何も意味しません。システムログをチェックして、誰かが正常に認証されたかどうかを確認できます。 (ソース)

2)たぶん。ログをチェックして、誰かが正常に認証されたかどうかを確認する必要があります。 Ubuntuでは、sshログは/var/log/authにあります。

https://unix.stackexchange.com/questions/127432/logging-ssh-access-attempts

Sshキーのパスフレーズをブルートフォースできることを忘れないでください。

ちなみに、公開鍵から秘密鍵を再構築することは、現在技術的に不可能です。

https://security.stackexchange.com/questions/33238/brute-forcing-ssh-keys

いくつかの sshによる2要素認証 および Fail2ban を使用することをお勧めします

Fail2banはログファイル(例:/ var/log/Apache/error_log)をスキャンし、悪意のある兆候を示すIPを禁止します-パスワードの失敗が多すぎます

13
Tolsadus