22 端口的 tcp 状态为 establised,是否说明有人登录进来了

2015-04-19 00:18:38 +08:00
 zzlettle
今天在学习一些命令的时候,我无意中想看看现在有哪些是已经 establised的tcp连接
结果看到我的22端口有2个establised。一个是我自己的,一个我看IP是南昌的,不是我这里的。但我用who 还有登录记录看,只看到我一个人登录进来了。不知道是不是22端口ssh的establised连接是不是也是登录进来了。如果是的话,看来我的服务器都被人黑进来了。
4029 次点击
所在节点    信息安全
17 条回复
yangqi
2015-04-19 00:26:43 +08:00
只是连接了而已,登录与否为止,你从你auth.log里能看出来的
ryd994
2015-04-19 00:27:27 +08:00
有可能在试密码呢,这时候也是连上了的
Havee
2015-04-19 00:32:33 +08:00
......
ssh user@ip,就已经建立了连接,之后再去认证,譬如密码登录的话,输错密码在 MaxAuthTries 设定的次数之内,连接不会被断开的
swordfeng
2015-04-19 03:19:28 +08:00
不一定尽量了
但是一定在访问你的22端口→_→
Livid
2015-04-19 05:06:52 +08:00
apt-get install fail2ban
laoyuan
2015-04-19 08:09:23 +08:00
还是改个端口吧,互相都省事
pH
2015-04-19 08:43:01 +08:00
你是在VPS上看的有两个22端口established么?
xiaogui
2015-04-19 08:50:31 +08:00
一般不要用 22 端口。
zzlettle
2015-04-19 10:23:13 +08:00
@pH 是的

@Havee 我最近刚学习linux,我想问下tcp状态为establised,说明已经连接上了,有什么办法可以在系统级别那里,不让一个新的连接进来,我是说,如果一旦一个端口,有一个已经establised了,就不允许别的再企图establised了
des
2015-04-19 10:36:44 +08:00
@zzlettle iptables
ryd994
2015-04-19 11:59:03 +08:00
@laoyuan 为何如此善良……
上蜜罐,但凡试22的全都banbanban
ryd994
2015-04-19 11:59:28 +08:00
@zzlettle 想限制并发可以connlimit
lk09364
2015-04-19 14:06:10 +08:00
@ryd994 请教一下,有这样的蜜罐程序吗?
ryd994
2015-04-19 15:31:42 +08:00
@lk09364 xinetd就行啊flags=SENSOR
kidlj
2015-04-19 17:51:17 +08:00
@zzlettle iptables
zzlettle
2015-04-20 00:00:41 +08:00
@ryd994 不懂蜜罐
ryd994
2015-04-20 01:02:07 +08:00
@zzlettle 用xinetd的话就是最简单的,如果有人连接22的话就ban ip。此外还有为了主动钓鱼做的蜜罐,就是伪造一个界面,让黑客以为自己已经攻破。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/184658

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX