Вот результат (я изменил свой IP на 23.23.23.23)
[root@web01 centos]# lsof -i tcp:22
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 3705 root 3u IPv4 43164 0t0 TCP *:ssh (LISTEN)
sshd 3705 root 4u IPv6 43166 0t0 TCP *:ssh (LISTEN)
sshd 32064 root 3u IPv4 8676370 0t0 TCP web01.internal:ssh->49.235.10.177:33976 (ESTABLISHED)
sshd 32160 root 3u IPv4 8673203 0t0 TCP web01.internal:ssh->23-23-23-23.static.isp.com:filesphere (ESTABLISHED)
sshd 32168 centos 3u IPv4 8673203 0t0 TCP web01.internal:ssh->23-23-23-23.static.isp.com:filesphere (ESTABLISHED)
Неизвестный IP: 49.235.10.177 - при быстром поиске в Google я обнаружил, что он из Китая и несколько раз сообщалось о злоупотреблениях.
Насколько это плохо? Что мне делать дальше?
Вероятно, в любой день их будет много. Некоторые боты пробуют общие имена пользователей / пароли на каждом доступе к sshd в Интернете, который они могут найти.
Вы можете сделать last чтобы узнать, есть ли фактический вход (а не просто соединение) с неизвестного адреса, и проверьте / var / log / auth. Обратите внимание, что если система была взломана, вы, вероятно, ничего там не найдете.
И рассмотрите возможность использования fail2ban для автоматического запрета IP-адресов, которые пытаются подключиться слишком много раз.