22 端口的 tcp 状态为 establised,是否说明有人登录进来了 - V2EX

Home Sign Up Sign In

This topic created in 4083 days ago, the information mentioned may be changed or developed.

今天在学习一些命令的时候，我无意中想看看现在有哪些是已经 establised的tcp连接
结果看到我的22端口有2个establised。一个是我自己的，一个我看IP是南昌的，不是我这里的。但我用who 还有登录记录看，只看到我一个人登录进来了。不知道是不是22端口ssh的establised连接是不是也是登录进来了。如果是的话，看来我的服务器都被人黑进来了。

17 replies • 2015-04-20 01:02:07 +08:00

1

yangqi

Apr 19, 2015

只是连接了而已，登录与否为止，你从你auth.log里能看出来的

2

ryd994

Apr 19, 2015 via Android

有可能在试密码呢，这时候也是连上了的

3

Busy

Apr 19, 2015

......
ssh user@ip，就已经建立了连接，之后再去认证，譬如密码登录的话，输错密码在 MaxAuthTries 设定的次数之内，连接不会被断开的

4

swordfeng

Apr 19, 2015 via Android

不一定尽量了
但是一定在访问你的22端口→_→

5

Livid

MOD

PRO

Apr 19, 2015

apt-get install fail2ban

6

laoyuan

Apr 19, 2015

还是改个端口吧，互相都省事

7

pH

Apr 19, 2015

你是在VPS上看的有两个22端口established么？

8

xiaogui

Apr 19, 2015

一般不要用 22 端口。

9

zzlettle

OP

Apr 19, 2015

@pH 是的

@Havee 我最近刚学习linux，我想问下tcp状态为establised，说明已经连接上了，有什么办法可以在系统级别那里，不让一个新的连接进来，我是说，如果一旦一个端口，有一个已经establised了，就不允许别的再企图establised了

10

des

Apr 19, 2015

@zzlettle iptables

11

ryd994

Apr 19, 2015 via Android

@laoyuan 为何如此善良……
上蜜罐，但凡试22的全都banbanban

12

ryd994

Apr 19, 2015 via Android

@zzlettle 想限制并发可以connlimit

13

lk09364

Apr 19, 2015

@ryd994 请教一下，有这样的蜜罐程序吗？

14

ryd994

Apr 19, 2015

@lk09364 xinetd就行啊flags=SENSOR

15

kidlj

Apr 19, 2015 via Android

@zzlettle iptables

16

zzlettle

OP

Apr 20, 2015

@ryd994 不懂蜜罐

17

ryd994

Apr 20, 2015

@zzlettle 用xinetd的话就是最简单的，如果有人连接22的话就ban ip。此外还有为了主动钓鱼做的蜜罐，就是伪造一个界面，让黑客以为自己已经攻破。

About · Help · Advertise · Blog · API · FAQ · Solana · 5408 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 66ms · UTC 09:08 · PVG 17:08 · LAX 02:08 · JFK 05:08
♥ Do have faith in what you're doing.