可疑SSH连接

Question

情况是这样的：

• 带有debian 8x32处女膜的vps (提供者存储库的新模板)；
• 异国情调的“用户”和强大的“密码”；
• 30秒后:命令(apt-获取更新)；
• 30秒后:命令(netstat)；
• netstat显示：
  • 1 x tcp建立了sshd连接(我的远程ssh客户端)；
  • 建立1×tcp sshd连接(中国ip) (小心脏病发作)；

• 30秒后:命令(cat /var/log.auth/)；
• 日志包含：
• 只有我的远程连接“接受”；
• 几次连接无效的尝试(ssh蛮力)；
• 30秒后：
• 为ssh安装了fail2ban，并增加了4项服务；
• 配置永久禁令(价值-1)；
• 使用一些正在攻击的ip填充hosts.deny；
• 2天后：* log修订var / log / auth * grep 接受、无效、拒绝等；

一切都表明没有攻击是成功的；ips hosts.deny被完美地弹出；Fail2ban工作得很好；仅ip的攻击减少了；现在日志只显示了ip的攻击，而不是ip的200次攻击；日志的所有“接受”连接都是正确的(显然，只有我与我的远程客户端成功连接)；

我知道第一件事是禁用root、密码等，并使用公钥和其他东西，但我的问题涉及netstat显示的SSH连接的“已建立”状态，即：

• 是否有可能假定已建立netstat的结果，但尚未产生？
• 是否已建立的nestat的结果明确和明确地表明机器已被破坏？
• 是否有可能攻击者正在使用修改的SYN或SYN来模拟假的已建立的连接？

额外:我已经看过4次建立的联系，刚刚被fail2ban永久禁止，在2秒后重新发射netstat，并看到无关联是如何像忍者一样消失；

提前谢谢。

Answer 1

netstat命令输出中看到的“已建立的”连接仅限于TCP连接。如果端口接受来自任何远程IP的连接，任何人都可以建立TCP会话，SSH守护进程将在其中请求登录和密码，但这并不意味着SSH会话是稳固的。

您可以自己轻松地尝试它:通过SSH登录到您的计算机，然后从本地PC使用telnet、netcat、socat或其他类似工具，在端口22上打开TCP会话到远程计算机。然后，在登录会话中，从netstat获取输出:您将看到来自本地PC的2个连接已建立，其中一个连接具有SSH会话，另一个连接来自telnet。

搜索/var/log/auth.log中的SSH会话。尝试寻找“会话打开”，这应该只对应于您的连接。

此外，我建议对您的VPS执行一些额外的配置步骤:首先，如果您的本地PC有固定的IP地址，并且您只计划从该PC连接到VPS，则通过iptables限制只允许从该IP连接(注意:如果做错了就会将自己锁在VPS之外，需要小心)。如果它不是固定的，或者您需要从其他来源连接，则该选项不在列表中。第二:为了减少蛮力(fail2ban很不错，但它依赖于日志记录的事件来工作，所以您总是会有一些来自新源的尝试)，我会将SSH端口从22更改为其他。