Digital Oceanから基本的なUbuntuサーバーを実行しています。このサーバーには、SSHキー(デスクトップに保存されている)を使用してアクセスします。
netstat -ap
を実行したところ、次の結果が得られました。
Local Address Foreign Address State PID
XX.XXX.XX.192 183.214.141.105:53929 ESTABLISHED 25193/sshd: root [p
これは私ではありません。私はIPを検索しましたが、それは多くの禁止リストの下にあり、中国から発信されています。
私の質問:
1)状態は「ESTABLISHED」ですが、SSH経由でサーバーにアクセスできるということですか?それとも、このブルートフォースは侵入を試みていますか?
2)サーバーがどのように侵害された可能性がありますか?ブルートフォースがSSHキーで機能することを知りませんか?彼らは私のデスクトップ上の私の鍵にアクセスする必要はありませんか?
1)確立されたということは、接続が完全に開いていて、データを送信できることを意味します。必ずしもデータが送信されたことを意味するわけではありません。誰かがあなたのシステムに認証したかどうかにかかわらず、それはレイヤー7について何も意味しません。システムログをチェックして、誰かが正常に認証されたかどうかを確認できます。 (ソース)
2)たぶん。ログをチェックして、誰かが正常に認証されたかどうかを確認する必要があります。 Ubuntuでは、sshログは/var/log/auth
にあります。
https://unix.stackexchange.com/questions/127432/logging-ssh-access-attempts
Sshキーのパスフレーズをブルートフォースできることを忘れないでください。
ちなみに、公開鍵から秘密鍵を再構築することは、現在技術的に不可能です。
https://security.stackexchange.com/questions/33238/brute-forcing-ssh-keys
いくつかの sshによる2要素認証 および Fail2ban を使用することをお勧めします
Fail2banはログファイル(例:/ var/log/Apache/error_log)をスキャンし、悪意のある兆候を示すIPを禁止します-パスワードの失敗が多すぎます