Назад | Перейти на главную страницу

Означает ли состояние «ESTABLISHED» в команде netstat для программы sshd, что у них действительно есть доступ?

У меня есть этот человек (или бот) с IP-адреса в Чили, который имеет "УСТАНОВЛЕННОЕ" соединение с SSHD в качестве root на моем сервере.

Я пытаюсь понять, что на самом деле означают выходные данные netstat, руководство на самом деле не содержит подробностей о них. Вот что я получаю:

root@linode [~]# netstat -tanpc|grep 200.29.174.125
tcp        0    840 45.33.71.204:22             200.29.174.125:40506        ESTABLISHED 12016/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:40792        ESTABLISHED 12020/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:41079        SYN_RECV    -
tcp        0      1 45.33.71.204:22             200.29.174.125:40792        FIN_WAIT1   -
tcp        0     84 45.33.71.204:22             200.29.174.125:41079        ESTABLISHED 12022/sshd
tcp        0     52 45.33.71.204:22             200.29.174.125:41353        ESTABLISHED 12024/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:41661        ESTABLISHED 12026/sshd
tcp        0    720 45.33.71.204:22             200.29.174.125:41959        ESTABLISHED 12028/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:42208        ESTABLISHED 12030/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:42509        ESTABLISHED 12032/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:42810        ESTABLISHED 12034/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:43094        SYN_RECV    -
tcp        0     84 45.33.71.204:22             200.29.174.125:43094        ESTABLISHED 12036/sshd
tcp        0     52 45.33.71.204:22             200.29.174.125:43362        ESTABLISHED 12038/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:43676        ESTABLISHED 12040/sshd
tcp        0    720 45.33.71.204:22             200.29.174.125:43936        ESTABLISHED 12042/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:44229        ESTABLISHED 12044/sshd
tcp        0    840 45.33.71.204:22             200.29.174.125:44566        ESTABLISHED 12047/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:44844        ESTABLISHED 12056/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:45079        SYN_RECV    -
tcp        0     84 45.33.71.204:22             200.29.174.125:45079        ESTABLISHED 12058/sshd

Из приведенного выше вывода я понимаю, что этот человек (или бот?) Меняет порты каждую секунду, поэтому новый PID для SSHD создается каждый раз, когда он (или он) «устанавливает» соединение. Я прав?

Следующая и более важная вещь, которую я хотел бы спросить: означает ли здесь состояние "УСТАНОВЛЕН", что он (или она) действительно имеет доступ к моему серверу как пользователь root? Или, если я прав в своем предположении выше, означает ли это, что он (или он) сканирует порты на моем сервере, все еще пытаясь войти?

Установлено только означает, что соединение полностью открыто и данные могут передаваться. Это не обязательно означает, что какие-либо данные имеет передано! Это ничего не говорит об уровне 7, независимо от того, прошел ли кто-то аутентификацию в вашей системе или нет. Вы можете проверить свои системные журналы, чтобы узнать, успешно ли прошел аутентификацию.

Установлено означает, что у пользователя на другом конце есть открытое соединение, и поэтому такие вещи, как "shutdown -I", должны работать, за исключением случаев, когда очевидно, что вы все равно не можете этого сделать. Я беспокоюсь только о выходах, помеченных как «Установленные», если другие не нужны.