web-dev-qa-db-fra.com

Fin-Wait-1 signifie-t-il que j'ai été piraté?

Je suis très nouveau à la sécurité du serveur et c'est mon premier message ici. Récemment, mon serveur a connu de nombreuses tentatives de connexion SSH à partir de sources inconnues.

Il y a quelques minutes, je me suis connecté au serveur et j'ai décidé de commander des prises tcp en émettant ss -t commande et découvert une prise en FIN-WAIT-1 Etat. Je ne suis pas sûr de quoi y penser. Quelqu'un a-t-il connecté avec succès?

State                Recv-Q            Send-Q                        Local Address:Port                         Peer Address:Port            
FIN-WAIT-1           0                 69                            139.132.21.45:ssh                        123.156.225.58:36092

La commande last me donne ces entrées, mais je ne me suis pas connecté en tant que root aujourd'hui.

root     ttyS0                         Tue Nov  2 17:10   still logged in
reboot   system boot  4.15.0-161-gener Tue Nov  2 17:10   still running

Devrais-je m'inquiéter?

ubuntusshsecurity
1
Eugene Epifanov

Quelqu'un a-t-il connecté avec succès?

Oui, mais cela ne veut rien dire; Il ne dit que :A TCP = === a été établi puis fermé. Il n'y a pas de relation avec ce que l'utilisateur distant était ou n'a pas été capable de faire.

Cas d'affaire: vous vous connectez à un hôte distant à l'aide de SSH, puis vous fournissez des informations d'identification incorrectes; Le serveur fermera la connexion. Une connexion fermée par le serveur ira (pendant un moment) dans un état Fin-Wait-1. Mais personne ne l'a inscrit réellement, c'était simplement une tentative de connexion échouée.

mon serveur a connu de nombreuses tentatives de connexion SSH de sources inconnues.

Si vous attrapez une de ces tentatives immédiatement après avoir échoué, une prise dans l'état FIN-WAUST-1 est exactement ce que vous verriez au niveau du réseau.

Cela dit tout ce qui précède, vous devez mettre une sorte de pare-feu devant votre serveur (ou à tout le moins configurez le pare-feu du système pour permettre uniquement les connexions de sources connues, de confiance); Si vous laissez un ordinateur exposé à l'Internet public sur des ports d'administration distants communs (SSH, RDP, etc.), vous demandez simplement des problèmes.

4
Massimo

Non, cela signifie que la prise est fermée. C'est un State TCP .

3
vidarlo

Vous pouvez voir en temps réel que la connexion tente de votre machine avec "TCPDump -V DST Host {YOUR_IP_EXT} et 'TCP [TCPPLAGS] == TCP-SYY'"

1
borcan22