lsof -iで見つかった不明なssh接続は、サーバーが侵害されていますか?
Ubuntu14.04を実行しているDigitalOceanドロップレットがあります。公開されているサーバーでnode.jsのクイックテストを実行するために使用します。 SSH経由でログインし、$ lsof -iを実行して、使用しているポートを確認しました。リストの一番下で私は気づきました:
sshd 30952 root 3u IPv4 66978103 0t0 TCP xxx.xxx.xxx.xxx:ssh->120.52.72.81:7810 (ESTABLISHED)
sshd 30953 sshd 3u IPv4 66978103 0t0 TCP xxx.xxx.xxx.xxx:ssh->120.52.72.81:7810 (ESTABLISHED)
私はこれらのssh接続を予期していなかったので(それは私だけであるはずです!)、私はIPアドレスを調べました、そしてそれは中国にあるようです。では、これらのssh接続が悪意のあるものであるかどうか、悪意のあるものである場合はサーバーに対して何を行ったかを確認するために、今何をすべきでしょうか。私はそれを核にしたくないのですが、それが危険にさらされている場合(彼らはルートアクセスを持っているので、私はそれを持っていると思います!)、おそらくそれが最も簡単なことです。
Update:上記を書いたので、2つの異なるSSH接続があるので、実際に危険にさらされていると思います。
sshd 31009 root 3u IPv4 66979206 0t0 TCP xxx.xxx.xxx.xxx:ssh->221.194.44.218:50829 (ESTABLISHED)
sshd 31010 sshd 3u IPv4 66979206 0t0 TCP xxx.xxx.xxx.xxx:ssh->221.194.44.218:50829 (ESTABLISHED)
誰かが妥協点をチェックする/これをクリーンアップする/何が起こっているかを確認するための賢明なアプローチを提案できるなら、それは私が学ぶのを助けるのに素晴らしいでしょう(私はそのようなn00bです!)。
更新2:これは妥協の兆候ではなく、ブルートフォースログインの試みの兆候であるようです- @からのコメントを参照してくださいbodgit および @ ultrajohn 以下。
いいえ、これは妥協の証拠ではありません。
インターネット上のどのサーバーも、SSHやその他の種類のログインをブルートする定期的な試みを期待できます。これらのタイプの攻撃は自動化されており、標的にはなりません。通常、攻撃の目的は、スパムを送信したり、さらに攻撃を開始したりするために使用できるボットをインストールすることです。攻撃は通常、辞書ベースです。
明らかに、攻撃者がランダムなユーザー名とパスワードを試しようとしている場合、SSHサーバーへの接続を確立することから始めます。これは、lsofで表示されているものです(netstatでも表示されます)。
侵害をチェックしたい場合は、wtmp(タイプwho)を調べ、システムログを調べてください。 Syslogの監査レコード(「ユーザージェームズのために開かれたセッション」など)は、いくらかの光を当てます。
また、認識できないユーザーを探して、トラフィックと接続を検査することもできます(commandnetstat -nvlpは便利です)サーバーが、電子メールの送信や他のサービスへの接続の開始などを実行している予期しないプロセスを実行しているかどうかを確認します。