nhiều kết nối ssh liên tục được mở bởi cùng một người dùng trên máy chủ linux

0

ps aux cho tôi một cái gì đó như thế này: 

root     30800  0.0  0.3 101792  6360 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30812  0.0  0.1 101792  3680 ?        S    17:23   0:00 sshd: user_name
root     30819  0.0  0.3 101792  6304 ?        Ss   17:01   0:00 sshd: user_name [priv]
root     30866  0.0  0.3 101792  6420 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30868  0.0  0.1 101792  3720 ?        S    17:23   0:00 sshd: user_name
root     30919  0.0  0.3 101792  6312 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30921  0.0  0.1 101792  3680 ?        S    17:23   0:00 sshd: user_name
root     30964  0.0  0.3 101792  6356 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30966  0.0  0.1 101792  3700 ?        S    17:24   0:00 sshd: user_name
user_na+ 30983  0.0  0.1 101792  3560 ?        S    17:01   0:00 sshd: user_name
root     31065  0.0  0.3 101792  6392 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31069  0.0  0.1 101792  3620 ?        S    17:24   0:00 sshd: user_name
root     31130  0.0  0.3 101792  6416 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31134  0.0  0.1 101792  3688 ?        S    17:24   0:00 sshd: user_name
root     31169  0.0  0.3 101792  6308 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31175  0.0  0.1 101792  3492 ?        S    17:24   0:00 sshd: user_name
root     31212  0.0  0.3 101792  6452 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31216  0.0  0.1 101792  3772 ?        S    17:24   0:00 sshd: user_name
root     31269  0.0  0.3 101792  6292 ?        Ss   17:24   0:00 sshd: user_name [priv]

Đây chỉ là một danh sách rút gọn, có khoảng 150 dòng này.

sau khi tôi cố gắng giết chúng, các kết nối sshd mới đã được sinh ra.

Người dùng "user_name" bị vô hiệu hóa, nếu tôi làm cat / etc / passwd | grep user_name, tôi nhận được điều này: 

user_name:x:1521:1521::/home/user_name:/usr/sbin/nologin

Có ai đó đang cố gắng đột nhập vào đây hay làm thế nào tôi có thể tìm hiểu chuyện gì đang xảy ra ở đây?

linux  ssh 
Dragan Matic
nguồn
Những gì là user_name? Đây có phải là một tài khoản mà bạn biết / mong đợi được sử dụng không? IP từ xa là gì? Bạn có nhận ra nó không? Làm gì tail -n 150 /var/log/auth.log Nói? Là phiên chạy bất cứ điều gì?
Attie
Lạ ... Nếu bạn có quyền root, bạn có thể thêm dòng DenyUsers trong sshd_config (và khởi động lại sshd), để ngăn truy cập mới.
tonioc

Câu trả lời:

0

Có thể là user_name có một ~user_name/.ssh/authorized_keys tệp, nếu bạn cho phép đăng nhập dựa trên khóa trong sshd_config, cũng có thể bỏ qua các hạn chế dựa trên mật khẩu đối với thông tin đăng nhập tùy theo thiết lập xác thực của bạn. Ví dụ, pam hệ thống dựa trên thường có một riêng biệt ssh cấu hình kết nối (xem /etc/pam.d/sshd ). Ngoài ra, chỉ vì vỏ đăng nhập của user_name/usr/sbin/nologin Không có nghĩa là ssh kết nối không thể được thực hiện, nếu máy khách đang chỉ định một lệnh sẽ được chạy như một phần của kết nối.

Đối với nếu bạn là đối tượng của một cuộc tấn công, tôi không thể nói. Bạn có thể thấy những quy trình khác được sở hữu bởi id người dùng đó.

crimson-egret
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.