Я вошел на свой сервер с Centos 7 через ssh и выполнил следующую команду:
[me@server ~]$ ps -ef --forest | grep ssh
root 476 1 0 Dec02 ? 00:00:00 /usr/sbin/sshd -D
root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv]
me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0
me 12405 12369 0 23:27 pts/0 00:00:00 | \_ grep --color=auto ssh
root 12401 476 0 23:27 ? 00:00:00 \_ sshd: root [priv]
sshd 12402 12401 0 23:27 ? 00:00:00 \_ sshd: root [net]
me 12399 1 0 23:27 ? 00:00:00 ssh-agent
Какой второй дочерний процесс sshd (PID = 12401) принадлежит пользователю root? Может быть, какое-то вредоносное соединение?
(После отключения root-доступа по ssh этот процесс не появляется.)
В этом примере вы видите эту пару процессов:
root 12401 476 0 23:27 ? 00:00:00 \_ sshd: root [priv]
sshd 12402 12401 0 23:27 ? 00:00:00 \_ sshd: root [net]
что сильно отличается от вашей пары:
root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv]
me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0
В sshd: root [priv]
это привилегированный процесс демона, ожидающего sshd: root [net]
ребенок для проверки подлинности. Это означает, что в то время вы ps
, была попытка аутентификации, где root
пользователь пытался войти в систему.
Это не редкость для публичных IP-адресов и с sshd
сервисы, работающие на стандартном порту. Вы можете получать сотни таких попыток каждый день, но если у вас надежный пароль, это не опасно.