Je suis très nouveau à la sécurité du serveur et c'est mon premier message ici. Récemment, mon serveur a connu de nombreuses tentatives de connexion SSH à partir de sources inconnues.
Il y a quelques minutes, je me suis connecté au serveur et j'ai décidé de commander des prises tcp
en émettant ss -t
commande et découvert une prise en FIN-WAIT-1
Etat. Je ne suis pas sûr de quoi y penser. Quelqu'un a-t-il connecté avec succès?
State Recv-Q Send-Q Local Address:Port Peer Address:Port
FIN-WAIT-1 0 69 139.132.21.45:ssh 123.156.225.58:36092
La commande last
me donne ces entrées, mais je ne me suis pas connecté en tant que root aujourd'hui.
root ttyS0 Tue Nov 2 17:10 still logged in
reboot system boot 4.15.0-161-gener Tue Nov 2 17:10 still running
Devrais-je m'inquiéter?
Quelqu'un a-t-il connecté avec succès?
Oui, mais cela ne veut rien dire; Il ne dit que :A TCP = === a été établi puis fermé. Il n'y a pas de relation avec ce que l'utilisateur distant était ou n'a pas été capable de faire.
Cas d'affaire: vous vous connectez à un hôte distant à l'aide de SSH, puis vous fournissez des informations d'identification incorrectes; Le serveur fermera la connexion. Une connexion fermée par le serveur ira (pendant un moment) dans un état Fin-Wait-1. Mais personne ne l'a inscrit réellement, c'était simplement une tentative de connexion échouée.
mon serveur a connu de nombreuses tentatives de connexion SSH de sources inconnues.
Si vous attrapez une de ces tentatives immédiatement après avoir échoué, une prise dans l'état FIN-WAUST-1 est exactement ce que vous verriez au niveau du réseau.
Cela dit tout ce qui précède, vous devez mettre une sorte de pare-feu devant votre serveur (ou à tout le moins configurez le pare-feu du système pour permettre uniquement les connexions de sources connues, de confiance); Si vous laissez un ordinateur exposé à l'Internet public sur des ports d'administration distants communs (SSH, RDP, etc.), vous demandez simplement des problèmes.
Non, cela signifie que la prise est fermée. C'est un State TCP .
Vous pouvez voir en temps réel que la connexion tente de votre machine avec "TCPDump -V DST Host {YOUR_IP_EXT} et 'TCP [TCPPLAGS] == TCP-SYY'"