我从Digital Ocean运行一个基本的Ubuntu服务器,我使用一个SSH密钥(存储在我的桌面上)访问。
我刚刚运行netstat -ap ,结果如下:
Local Address Foreign Address State PID XX.XXX.XX.192 183.214.141.105:53929 ESTABLISHED 25193/sshd: root [p
这不是我,我搜查了这个知识产权,是在一些被禁止的名单下,来自中国。
我的问题:
1)作为国家是'ESTABLISHED',这是否意味着他们有通过SSH访问我的服务器? 还是这个蛮力试图进入?
2)我的服务器如何被入侵? 我不知道蛮力可以在SSH密钥上工作吗? 他们不需要在我的桌面上访问我的密钥吗?
1)仅仅意味着连接完全打开并且可以传输数据。 这并不一定意味着任何数据已经传输! 这并不意味着第7层的任何内容,无论是否有人对您的系统进行了身份validation。 您可以检查您的系统日志,以了解是否有人已成功validation身份。 (资源)
2)也许。 你将需要检查你的日志,看看是否有人authentication成功。 在Ubuntu上,ssh日志可以在/var/log/auth
https://unix.stackexchange.com/questions/127432/logging-ssh-access-attempts
不要忘记,你可以强制SSH密钥的密码。
另一方面,从公共密钥重build私钥在技术上目前是不可能的
https://security.stackexchange.com/questions/33238/brute-forcing-ssh-keys
我build议使用ssh和Fail2ban进行一些双因素身份validation
Fail2ban扫描日志文件(例如/ var / log / apache / error_log)并禁止显示恶意标志的IP – 太多密码失败