ps是否列出了许多sshd / root进程,即暴力SSH破解尝试? -- linux 领域 和 ssh 领域 和 security 领域 linux 应用 相关 的问题

Are many sshd/root processes listed by ps, brute force SSH hack attempt?


2
vote

问题

中文

当执行 ps -efH 时,我看到很多以下内容,其中14:24基本上是当前系统时间。这些过程每分钟都会弹出。

  root      6851     1  0 14:24 ?        00:00:00   sshd: root [priv] sshd      6852  6851  0 14:24 ?        00:00:00     sshd: root [net] root      6869  6851  1 14:24 ?        00:00:00     sshd: root [pam] root      6861     1  0 14:24 ?        00:00:00   sshd: root [priv] sshd      6863  6861  0 14:24 ?        00:00:00     sshd: root [net] root      6874  6861  0 14:24 ?        00:00:00     sshd: root [pam] root      6865     1  0 14:24 ?        00:00:00   sshd: root [priv] sshd      6866  6865  0 14:24 ?        00:00:00     sshd: root [net] root      6875  6865  0 14:24 ?        00:00:00     sshd: root [pam] root      6872     1  1 14:24 ?        00:00:00   sshd: root [priv] sshd      6873  6872  0 14:24 ?        00:00:00     sshd: root [net] root      6876  6872  0 14:24 ?        00:00:00     sshd: root [pam]   

这是否意味着有人试图通过SSH暴力破解此计算机上的root密码?还是不那么邪恶?

英文原文

When doing a ps -efH I see lots of the following, where 14:24 is basically the current system time. These processes keep popping up every minute.

root      6851     1  0 14:24 ?        00:00:00   sshd: root [priv] sshd      6852  6851  0 14:24 ?        00:00:00     sshd: root [net] root      6869  6851  1 14:24 ?        00:00:00     sshd: root [pam] root      6861     1  0 14:24 ?        00:00:00   sshd: root [priv] sshd      6863  6861  0 14:24 ?        00:00:00     sshd: root [net] root      6874  6861  0 14:24 ?        00:00:00     sshd: root [pam] root      6865     1  0 14:24 ?        00:00:00   sshd: root [priv] sshd      6866  6865  0 14:24 ?        00:00:00     sshd: root [net] root      6875  6865  0 14:24 ?        00:00:00     sshd: root [pam] root      6872     1  1 14:24 ?        00:00:00   sshd: root [priv] sshd      6873  6872  0 14:24 ?        00:00:00     sshd: root [net] root      6876  6872  0 14:24 ?        00:00:00     sshd: root [pam] 

Does this mean that someone is trying to brute force the root password on this machine over SSH? Or is it something less nefarious?

        
 
 

回答列表

4
 
vote
vote
最佳答案
 

这是否意味着有人试图强行使用root密码 在这台机器上通过SSH?还是不那么邪恶?

这可能是尝试通过SSH进行暴力破解,但是即使它"恶意" ,我也不会因此而睡不着。攻击者始终会在Internet上对大多数可在Internet上公开访问的服务器进行探测。实际上,有人"束缚关节" 并不能使自己失去睡眠。该系统的实际渗透率是

哎呀,我刚检查了我管理的公共服务器上的 auth.log ,并且在运行此命令时在过去24小时内计数了2000多次"身份验证失败" 尝试:

  sudo grep "authentication failure;" /var/log/auth.log | wc -l   

听起来很吓人,但老实说,谁在乎?使用上述命令的稍作修改的版本,可以快速直观地检查 auth.log 中的日志条目:

  sudo grep "authentication failure;" /var/log/auth.log   

…向我展示了这样的东西:

  Mar 15 07:02:09 hostname sshd[2213]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root Mar 15 07:02:19 hostname sshd[2236]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root Mar 15 07:02:31 hostname sshd[2355]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root   

请注意,所有尝试访问的尝试都是如何在 root 帐户上进行的?在我设置的任何系统上, root 都会立即被清除。因此,在我看来,这些尝试是徒劳的。因此,如果您检查您的 auth.log 并通过 root 帐户查看大量尝试 ssh 进入系统的尝试,请确保系统的 abcdefghijklmn 帐户已被完全禁用,无法将该问题从列表中剔除。

通过 sudo grep "authentication failure;" /var/log/auth.log | wc -l 1 帐户尝试,如果您看到对系统似乎是随机的用户名的访问,这也是另一种试图侵入系统的尝试。除非这些用户名等同于您系统上的某些用户名,否则我也不用担心它们。

现在,一些系统管理员会说,解决此问题的最佳方法是完全从SSH完全禁用密码身份验证,并且仅使用SSH密钥对,但是我倾向于认为这是过分的。并不是说SSH密钥对很弱(不是),但是如果从第一天起就安全,合理地设置了系统的访问方法,并且密码足够健壮而又不容易被黑,那么该系统就非常安全。那是因为现代Web服务器上的最大漏洞是实际在服务器本身上运行的前端Web应用程序,而不是像SSH这样的东西。

最终,我不会担心这种随机的"战争拨号" 尝试,而是要确保服务器本身已禁用 sudo grep "authentication failure;" /var/log/auth.log | wc -l 2 用户帐户,这是抢先理性的做法。如果您在2015年仍然启用了 sudo grep "authentication failure;" /var/log/auth.log | wc -l 3 帐户的情况下运行公用服务器,那么从长远来看,您基本上会感到头疼。

 

Does this mean that someone is trying to brute force the root password on this machine over SSH? Or is it something less nefarious?

It could be attempts to brute force in via SSH, but even if it was xe2x80x9cnefariousxe2x80x9d I would not lose any sleep over it. Most any server that is publicly accessible on the Internet gets probed by attackers all the time. Someone virtually xe2x80x9ccasing the jointxe2x80x9d is nothing to lose sleep over; actual penetration of the system is.

Heck, I just checked the auth.log on a public server I manage and count over 2000+ xe2x80x9cauthentication failurexe2x80x9d attempts over the past 24 hours when I run this command:

sudo grep "authentication failure;" /var/log/auth.log | wc -l 

Sounds scary but honestly, who cares? A quick visual check of the log entries in auth.log using a slightly modified version of the above command:

sudo grep "authentication failure;" /var/log/auth.log 

xe2x80xa6shows me stuff like this:

Mar 15 07:02:09 hostname sshd[2213]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root Mar 15 07:02:19 hostname sshd[2236]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root Mar 15 07:02:31 hostname sshd[2355]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root 

Note how all of the attempted access attempts are on the root account? On any system I setup, root getxe2x80x99s neutered right away. So these attempts are past fruitless in my case. So if you check your auth.log and see tons of attempts to ssh into the system via the root account, make sure your systemxe2x80x99s root account is completely disabled to knock that concern off of the list.

Past the root account attempts, if you see accesses of seemingly random usernames to your system that too is another attempt to hack into the system. And unless those usernames equate to some username on your system, I would not worry about them at all either.

Now some sysadmins would say the best solution to this issue is to simple disable password authentication completely from SSH and only use SSH key pairs, but I tend to think that is overkill. Not saying SSH key pairs are weakxe2x80x94they arenxe2x80x99txe2x80x94but if a systemxe2x80x99s access methods are setup sanely and securely from day one, and the passwords are robust enough to not easily be hacked, then the system is quite secure. Thatxe2x80x99s because the biggest vulnerability on modern web servers is the front-facing web application actually running on the server itself and not things like SSH.

At the end of the day I would not worry about these kinds of random xe2x80x9cwar dialingxe2x80x9d attempts, but rather be preemptively rational in making sure the server itself has the root user account disabled. If you still operate a public server in 2015 with the root account enabled, youxe2x80x99re basically asking for headaches in the long run.

 
 

相关问题

0  将查找请求限制为一个结果  ( Limit find request to one result ) 
我有以下命令,该命令应递归查找文件夹并获取上次修改日期-完美。但是,有时由于某种原因它会带来不止一个结果。我怎样才能找回最重要的文件(最后修改的文件) 命令是: find $1 -type f -exec stat --format '%Y :%y %n' "{}" ; | sort -nr | cut -d...

0  从/到Linux的网络上的触发命令[重复]  ( Trigger command over network from to linux ) 
这个问题在这里已经有答案了: 在Linux上的端口上侦听传入请求,然后运行命令 (1个答案) ...

1  为什么此netcat管道在macOS上有效但在Linux上不可用?  ( Why does this netcat pipeline work in macos but not linux ) 
我建立了以下管道。这使我可以看到通过管道传递的原始HTTP请求和响应。 注意:我在下面使用BSD nc (这是macOS和AmazonLinux附带的),但是我也尝试了nmap的 ncat ,可以采用相同的参数,与 socat 1.7.3.2行为相同。 socat 使用不同的参数,但是管道是相同的。我将只...

0  Linux版zfs –格式化磁盘  ( Zfs for linux formatting disks ) 
我刚刚为Linux安装了zfs文件系统,但是现在我不知道如何使用它格式化驱动器。我正在运行Ubuntu 12.04 LTS Desktop,并尝试格式化两个外部硬盘以相互镜像。是否有命令可以镜像每个磁盘,或者RAID是更好的选择? ...

1  Linux中的USB设备端口关联性  ( Usb device port affinity in linux ) 
我正在自动潜水艇内部运行linux机器(Ubuntu 10.04),该潜艇上已连接了许多USB设备,例如照相机,usb->串行设备等。不幸的是,每次机器启动我的设备时,似乎得到了不同的分配。例如,我的各种USB->串行设备将显示为不同的/ dev / ttyUSB *,而我的相机将显示为不同的/ dev ...

-1  每次启动终端机时如何运行随机命令  ( How to run a random command every time i start a terminal ) 
已关闭。这个问题需要详细信息或清晰说明。它当前不接受答案。 <路径d =" M15 6.38A6.48 6.48 0 007.78。 04h-.02A6.49 6.49 0 002.05 5.6a...

11  执行存储在变量中的命令  ( Execute a command stored in a variable ) 
我有一个存储在变量中的命令。我们假设变量 $i 的值为: cat -nT index.php |grep 'someregex' 当我尝试通过键入 $i 执行上述变量时,它失败了,因为shell尝试将整个变量作为一个命令执行。我还尝试使用 eval($i) 并将 $i 放在反引号中。 如何使shell执行 ...

1  如何限制dd使用的内存量?  ( How can i limit the amount of memory used by dd ) 
我正在使用 dd 在崩溃的内核中传输一个大的内核核心文件(4GB〜12GB),该文件具有少量可用内存(〜400MB)。 问题是dd可能因OOM恐慌而崩溃,因为它只是将很大一部分vmcore转储到套接字中,这可能导致系统运行OOM。 我的问题是:如何根据可用内存限制 dd 的速度? 谢谢。 ...

1  如何在MacBook Pro视网膜(2015)上成功安装Kali Linux 2.0?  ( How to succesfully install kali linux 2 0 on a macbook pro retina 2015 ) 
我想在MacBook Pro Retina(2015)上安装Kali Linux 2.0。 我遵循了官方文档/教程,但无法使其正常工作。问题: 安装refind之后,我通过alt键从OS X启动引导程序 我正在选择EFI(如上所述) 然后我进入rEFInd屏幕,在其中选择Windows。 我收到以下错误: n...

0  我可以使用VPN,然后启动VM并使用其他VPN吗?  ( Can i use a vpn and then start up a vm and use another vpn ) 
我还没有尝试过,我想知道是否有可能通过在Win10安装中使用VPN,然后打开一个虚拟机(例如Ubuntu或Win7),然后在其中运行VPN来进一步混淆我的位置。我会使用相同的提供程序,但使用不同的位置。谢谢 ...

1  将Linux主机同步到NTP服务器  ( Synchronising linux host to ntp server ) 
我正在尝试将Linux主机的时间与NTP服务器同步。使用服务器信息修改配置文件,并使用以下命令启动NTP服务 服务ntpd启动 通过执行以下命令,我检查了是否添加了NTP服务器 ntpq -pn 输出中列出了ntp服务器的名称。 但是时间没有变化。帮我永久与NTP服务器同步时间(重新启动时更改时间,无需ntpda...

0  有没有一种方法可以在不中断现有连接的情况下连接到VPN?  ( Is there a way to connect to a vpn without breaking existing connections ) 
我的大学最近改用F5 VPN,并且我正在使用Arch Linux。我已经设法连接到VPN,它创建了一个隧道设备,可以从无线设备接管。 我曾经通过SSH隧道将VPN连接设置为SOCKS代理,这固然是个不错的选择,但它的确很棒:如果我正在Skype会议中途,我可以加载代理并连接检查电话而不会打断电话。 有没有办法在Lin...

0  如何找出MacOS中的进程映射了哪个文件?  ( How to find out which file is mmapped by process in macos ) 
我有一个过程,运行起来真的很慢。使用dtruss实用程序,我可以看到它进行了很多mmap调用。我如何找出磁盘上的哪个文件被映射? (我的计划是在linux中运行时,将其目录替换为ramfs) 这是dtruss输出的一个例子 munmap(0x18ABBD000, 0x40000) = 0 0 mm...

2  使用xfrm进行ip负载压缩  ( Ip payload compression with xfrm ) 
我正在尝试使用两台计算机之间的 ip xfrm 压缩ip负载。计算机1的IP地址为 192.168.0.1 ,计算机2的IP地址为 192.168.0.2 。我成功地在此要点之后的两台计算机之间建立了IPSec链接。我试图使其适应压缩。我运行了以下命令: 计算机1 sudo ip xfrm state add ...

0  无法在新分区上创建文件系统-Amazon EC2实例  ( Unable to create filesystem on new partition amazon ec2 instance ) 
我在Linux Amazon AMI上创建了一个新分区/ dev / xvda1p1。 之后,我将无法创建文件系统。 出了什么问题? # fdisk -l Disk /dev/xvda1: 8589 MB, 8589934592 bytes 255 heads, 63 sectors/track, 1044 c...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有


Licensed under cc by-sa 3.0 with attribution required.