Назад | Перейти на главную страницу

дополнительный корневой экземпляр sshd

Я вошел на свой сервер с Centos 7 через ssh и выполнил следующую команду:

[me@server ~]$ ps -ef --forest | grep ssh

root     476     1  0 Dec02 ?       00:00:00 /usr/sbin/sshd -D
root   12366   476  0 23:26 ?       00:00:00  \_ sshd: me[priv]
me     12368 12366  0 23:27 ?       00:00:00  |   \_ sshd: me@pts/0
me     12405 12369  0 23:27 pts/0   00:00:00  |           \_ grep --color=auto ssh
root   12401   476  0 23:27 ?       00:00:00  \_ sshd: root [priv]
sshd   12402 12401  0 23:27 ?       00:00:00      \_ sshd: root [net]
me     12399     1  0 23:27 ?       00:00:00 ssh-agent

Какой второй дочерний процесс sshd (PID = 12401) принадлежит пользователю root? Может быть, какое-то вредоносное соединение?

(После отключения root-доступа по ssh этот процесс не появляется.)

В этом примере вы видите эту пару процессов:

root   12401   476  0 23:27 ?       00:00:00  \_ sshd: root [priv]
sshd   12402 12401  0 23:27 ?       00:00:00      \_ sshd: root [net]

что сильно отличается от вашей пары:

root   12366   476  0 23:26 ?       00:00:00  \_ sshd: me[priv]
me     12368 12366  0 23:27 ?       00:00:00  |   \_ sshd: me@pts/0

В sshd: root [priv] это привилегированный процесс демона, ожидающего sshd: root [net] ребенок для проверки подлинности. Это означает, что в то время вы ps, была попытка аутентификации, где root пользователь пытался войти в систему.

Это не редкость для публичных IP-адресов и с sshd сервисы, работающие на стандартном порту. Вы можете получать сотни таких попыток каждый день, но если у вас надежный пароль, это не опасно.