На моем сервере Ubuntu я иногда запускаю следующую команду, чтобы просмотреть все открытые файлы, которые являются TCP-соединениями с моего сервера:
lsof -uroot | grep 104.236.XX.XXX
В последний раз, когда я его запускал, я видел это как одну из записей:
sshd 15651 root 3u IPv4 1813348 0t0 TCP 104.236.XX.XXX:ssh->62-210-180-69.rev.poneytelecom.eu:38114 (ESTABLISHED)
Что это за связь? Ни один из запущенных мной процессов не вызвал бы это соединение. Я должен быть обеспокоен? Кто-нибудь знает, откуда это взялось?
РЕДАКТИРОВАТЬ
После проверки файла на /var/log/auth.log похоже, что я вижу несколько неудачных попыток авторизации с этого хоста.
Jan 13 09:45:50 prod sshd[5474]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
Jan 13 09:45:51 prod sshd[5476]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
Jan 13 09:45:51 prod sshd[5474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=li829-5.members.linode.com user=root
Jan 13 09:45:51 prod sshd[5476]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=62-210-180-69.rev.poneytelecom.eu user=root
Jan 13 09:45:53 prod sshd[5474]: Failed password for root from 104.237.138.5 port 54713 ssh2
Jan 13 09:45:53 prod sshd[5474]: Received disconnect from 104.237.138.5: 11: Bye Bye [preauth]
Jan 13 09:45:53 prod sshd[5476]: Failed password for root from 62.210.180.69 port 60293 ssh2
Jan 13 09:45:57 prod sshd[5476]: message repeated 2 times: [ Failed password for root from 62.210.180.69 port 60293 ssh2]
Jan 13 09:45:57 prod sshd[5476]: Received disconnect from 62.210.180.69: 11: [preauth]
Jan 13 09:45:57 prod sshd[5476]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=62-210-180-69.rev.poneytelecom.eu user=root
Jan 13 09:45:58 prod sshd[5478]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
Jan 13 09:45:58 prod sshd[5478]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=62-210-180-69.rev.poneytelecom.eu user=root
Jan 13 09:45:59 prod sshd[5478]: Failed password for root from 62.210.180.69 port 51275 ssh2
Jan 13 09:46:04 prod sshd[5478]: message repeated 2 times: [ Failed password for root from 62.210.180.69 port 51275 ssh2]
Jan 13 09:46:04 prod sshd[5478]: Received disconnect from 62.210.180.69: 11: [preauth]
Jan 13 09:46:04 prod sshd[5478]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=62-210-180-69.rev.poneytelecom.eu user=root
Jan 13 09:46:04 prod sshd[5480]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
Jan 13 09:46:05 prod sshd[5480]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=62-210-180-69.rev.poneytelecom.eu user=root
Jan 13 09:46:06 prod sshd[5480]: Failed password for root from 62.210.180.69 port 41907 ssh2
Jan 13 09:46:10 prod sshd[5480]: message repeated 2 times: [ Failed password for root from 62.210.180.69 port 41907 ssh2]
Это одно из двух:
Кто-то пытается аутентифицироваться с помощью ssh в строгом техническом смысле. Намерение, скорее всего, угадывает пароли или иным образом получает доступ. Итак, ваш стандартный трафик сканера вы получаете от запуска ssh на стандартном порту.
Кто-то вошел в систему как root напрямую через ssh. Чтобы это было возможно, AllowRootLogin включен в /etc/ssh/sshd_config.
Разницу можно найти в /var/log/auth.log. Если вы видите количество неудачных попыток входа с этого IP-адреса, то это сканер. Если вы видите успешный вход в систему или не можете найти никакой информации, значит, у вас проблемы. Вы также можете использовать текущих пользователей, вошедших в систему, с помощью команды w (1), но если кто-то получил доступ, вы не можете доверять выводам.
Если это сканер, рассмотрите возможность установки fail2ban или sshguard в сочетании с брандмауэром.