Quá trình ssh gốc đáng ngờ

Một người bạn của tôi gửi cho tôi cái này. Anh ta sợ rằng quá trình 7680 là một kẻ xâm nhập. Có thể không? Có thể là anh ta đã chạy một lệnh sudo (đó sẽ là một cái vỏ?). Gần đây, ông đã đề cập đến việc kết nối trên ssh với máy mục tiêu.

ps aux|grep ssh
 root       681  0.0  0.0   6308   668 ?        Ss   Feb22   0:00 /usr/sbin/sshd
 fanfan     898  0.0  0.0   4024   152 ?        Ss   Feb22   0:00 /usr/bin/ssh-agent -s
 root     26308  0.3  0.0   7680  2340 ?        Ss   12:05   0:00 sshd: [accepted]
 nobody   26309  0.0  0.0   7652  1068 ?        S    12:05   0:00 sshd: [net]
 root     26311  0.0  0.0    964   160 pts/2    D+   12:05   0:00 grep ssh

Nó chắc chắn có thể là ai đó đang cố gắng thiết lập một phiên ssh với máy tính. Tùy thuộc vào hệ điều hành bạn đang sử dụng, các phiên như vậy sẽ được ghi lại.

Thông thường họ được đăng nhập vào một trong các tệp dưới đây:

/var/log/syslog
/var/log/auth
/var/log/auth.log
/var/log/secure
/var/logs/system.log

Nếu bạn không thể tìm thấy bất cứ điều gì, bạn có thể thử chạy các lệnh này với quyền root để cung cấp cho bạn ý tưởng về nơi cần tìm:

grep -ir ssh /var/log/*
grep -ir sshd /var/log/*
grep -ir breakin /var/log/*
grep -ir security /var/log/*

Xem nếu có bất kỳ IP, tên máy chủ hoặc cảnh báo đáng ngờ nào xuất hiện trong nhật ký. Nếu vậy, bạn có thể đưa vào danh sách đen chúng.

Nếu bạn khởi động lại máy tính, các phiên SSH còn sót lại sẽ tan. Vì vậy, nếu các quá trình đó tiếp tục sinh sản mà không có bạn bè của bạn sử dụng SSH, một cái gì đó hoặc ai đó đang kết nối với máy tính.