Cas*_*yIT 3 security ubuntu ssh
我已经有一台 Ubuntu 8.04 服务器在 Internet 上运行了几天......我为 FTP 和 SSH 打开了端口 21 和 22......所有其他端口都关闭了。
我跑了
netstat
并找到了这个
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp6 0 68 10.7.1.71%134645824:ssh 125.211.221.145%8:47777 ESTABLISHED
看起来好像 125.211.221.145 已经建立了到服务器的 SSH 连接......并且正在发送数据包......有人可以在不进行身份验证的情况下建立 SSH 连接吗?
我对地址进行了反向 DNS 查找……根据此资源,它似乎来自中国……
http://www.ipaddresser.com/
我认为大多数服务器一直在抵御这样的东西,但是有人坐在这样的端口上是不是很不寻常?有没有办法在服务器级别阻止某些 IP?
服务器位于强大的 Cisco 防火墙后面..
所有“已建立”意味着 tcp 会话已打开。它并不意味着他们已经成功地验证。例如,Nmap 会在扫描 22 端口时创建一个完整的、合法的 TCP 会话。(它正在验证守护进程sshd,检查版本字符串等)这个人可能正在运行一个简单的端口扫描器,甚至试图对你的密码。
要弄清楚实际发生了什么,您需要花一些时间处理日志。花大部分时间寻找成功和失败的登录。也只是运行“ who”会让您知道是否有人通过该连接实际登录。
的输出last也很有用。
| 归档时间: |
|
| 查看次数: |
282 次 |
| 最近记录: |