我看到一个额外的SSHD连接是从我不认识的IP中建立的。我该担心吗？(包括产出)

Question

这是输出(我已将IP更改为23.23.23.23)

    [root@web01 centos]#  lsof -i tcp:22  
    COMMAND   PID   USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME  
    sshd     3705   root    3u  IPv4   43164      0t0  TCP *:ssh (LISTEN)  
    sshd     3705   root    4u  IPv6   43166      0t0  TCP *:ssh (LISTEN)  
    sshd    32064   root    3u  IPv4 8676370      0t0  TCP web01.internal:ssh->49.235.10.177:33976 (ESTABLISHED)  
    sshd    32160   root    3u  IPv4 8673203      0t0  TCP web01.internal:ssh->23-23-23-23.static.isp.com:filesphere (ESTABLISHED)  
    sshd    32168 centos    3u  IPv4 8673203      0t0  TCP web01.internal:ssh->23-23-23-23.static.isp.com:filesphere (ESTABLISHED)  

匿名IP: 49.235.10.177 --在一次快速的谷歌搜索中，我发现它来自中国，并被报道过几次被滥用。

这有多糟？从这里我该怎么办？

Answer 1

任何一天你都可能会收到很多这样的信息。一些机器人在面临sshd的每一个互联网上都会尝试共同的用户名/密码。

您可以执行一个last来查看是否有来自未知地址的实际登录(而不仅仅是连接)，并检查/var/log/auth。但是请注意，如果系统被破坏了，您可能什么也找不到。

并考虑使用fail2ban自动禁止试图连接太多次的ip地址。