所以我有这个奇怪的问题,即使在sshd停止之后,我的一个盒子正在接受ssh端口(22)上的连接。 我试图用典型的手段来识别听力过程
sudo netstat -antp | grep 22 # nothing sudo unhide-tcp # no hidden tcp ports 当我尝试连接到端口22时,即使在本机上设置了基于密钥的身份validation,也会要求input密码。
恐怕我的机器上有rootkit或类似的恶意软件。
你以前见过这样的事吗?
OS – Ubuntu 14.04 LTS
如果这确实是一个隐藏的过程,而且你没有犯任何错误(比如Uwe上面提到的inetd),试试这个:
对于所有这一切发生,您必须遏止其余的stream量,所以在生产服务器上这可能会有问题。
即使你已经设置了基于密钥的authentication机制 – 它应该通过一个协议,如SSH。 但在你的情况下,你可以请尝试以下:
login到服务器和
tail -f / var / log / secure
然后从另一个terminal尝试login,看看那里logging的日志。
检查SSH是否configuration为侦听另一个端口 – 在sshd_config文件中
检查iptables – 查看是否有任何端口转发检查过程
sudo ps -ef | grep -i ssh
再次用netstat仔细检查所有进程
netstat -tulpn