我已经login到我的服务器运行CentOS 7通过SSH并执行以下命令:
[me@server ~]$ ps -ef --forest | grep ssh root 476 1 0 Dec02 ? 00:00:00 /usr/sbin/sshd -D root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv] me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0 me 12405 12369 0 23:27 pts/0 00:00:00 | \_ grep --color=auto ssh root 12401 476 0 23:27 ? 00:00:00 \_ sshd: root [priv] sshd 12402 12401 0 23:27 ? 00:00:00 \_ sshd: root [net] me 12399 1 0 23:27 ? 00:00:00 ssh-agent 什么是由root拥有的第二个subprocesssshd(PID = 12401)? 可能是一些恶意的连接?
(在通过ssh禁用根访问之后,这个过程不会出现。)
在这个例子中,你看到这一对过程:
root 12401 476 0 23:27 ? 00:00:00 \_ sshd: root [priv] sshd 12402 12401 0 23:27 ? 00:00:00 \_ sshd: root [net]
这和你们俩是完全不一样的:
root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv] me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0
sshd: root [priv]是守护程序等待sshd: root [net]子进行身份validation的特权进程。 这意味着在您执行ps ,正在进行一些身份validation尝试,其中root用户正尝试login。
这在公共IP上运行并且在标准端口上运行sshd服务并不罕见。 你每天可以得到数百次这样的尝试,但是如果你有很强的密码,那就不危险了。