V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Pteromyini
V2EX  ›  信息安全

收到无数次来自本机的 ssh 请求,请问怎么定位这个应用或者软件

  •  
  •   Pteromyini · 2023-04-24 10:22:55 +08:00 · 2136 次点击
    这是一个创建于 604 天前的主题,其中的信息可能已经有所发展或是发生改变。

    错误如图: sudo netstat -tulpn | grep ssh 查看只能查到自己的 ssh 登录情况

    10 条回复    2023-04-27 08:27:42 +08:00
    Pteromyini
        1
    Pteromyini  
    OP
       2023-04-24 10:24:23 +08:00
    192.168.1.66 是我的本机地址,查看进程只能查到![]( https://s2.loli.net/2023/04/24/7yIUK98qLm54uEo.png)
    lalawu
        2
    lalawu  
       2023-04-24 10:33:27 +08:00
    可以看看 22 号端口被什么进程频繁打开
    aw2350
        3
    aw2350  
       2023-04-24 10:36:06 +08:00
    tcpdump 抓一下 ssh ,看看都有哪些内容指令。
    vileer
        4
    vileer  
       2023-04-24 10:37:18 +08:00 via iPhone
    你这个应该要看目标端口是 22 ,IP 地址是本机的连接吧,而不直接过滤 ssh
    Judoon
        5
    Judoon  
       2023-04-24 10:41:59 +08:00
    你是不是用 frp 类似的工具把自己的 22 端口转发到公网了
    Lentin
        6
    Lentin  
       2023-04-24 10:46:42 +08:00
    netstat 不要写 l ,去掉你再看看,l 是只显示本地监听的端口,不能看正在连接的端口
    SinceJune
        7
    SinceJune  
       2023-04-24 11:03:18 +08:00
    lsof -i:22 试试
    Pteromyini
        8
    Pteromyini  
    OP
       2023-04-24 21:26:32 +08:00
    统一回复下,感谢大家的方法,我决定试试看
    julyclyde
        9
    julyclyde  
       2023-04-26 12:00:41 +08:00
    查客户端是比较难的
    可能需要 systemtap 或者 eBPF 之类的
    Pteromyini
        10
    Pteromyini  
    OP
       2023-04-27 08:27:42 +08:00
    @julyclyde #9 是的,我通过历史记录查进程定位
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5577 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:38 · PVG 14:38 · LAX 22:38 · JFK 01:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.