Означает ли состояние "ESTABLISHED" в команде netstat для программы sshd, что они действительно имеют доступ?

У меня есть этот человек (или бот) с IP-адреса в Чили, который имеет "УСТАНОВЛЕННОЕ" подключение к SSHD в качестве пользователя root на моем сервере.

Я пытаюсь понять, что на самом деле означают выводы netstat, руководство не дает подробных сведений о них. Вот что я получаю:

root@linode [~]# netstat -tanpc|grep 200.29.174.125
tcp        0    840 45.33.71.204:22             200.29.174.125:40506        ESTABLISHED 12016/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:40792        ESTABLISHED 12020/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:41079        SYN_RECV    -
tcp        0      1 45.33.71.204:22             200.29.174.125:40792        FIN_WAIT1   -
tcp        0     84 45.33.71.204:22             200.29.174.125:41079        ESTABLISHED 12022/sshd
tcp        0     52 45.33.71.204:22             200.29.174.125:41353        ESTABLISHED 12024/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:41661        ESTABLISHED 12026/sshd
tcp        0    720 45.33.71.204:22             200.29.174.125:41959        ESTABLISHED 12028/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:42208        ESTABLISHED 12030/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:42509        ESTABLISHED 12032/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:42810        ESTABLISHED 12034/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:43094        SYN_RECV    -
tcp        0     84 45.33.71.204:22             200.29.174.125:43094        ESTABLISHED 12036/sshd
tcp        0     52 45.33.71.204:22             200.29.174.125:43362        ESTABLISHED 12038/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:43676        ESTABLISHED 12040/sshd
tcp        0    720 45.33.71.204:22             200.29.174.125:43936        ESTABLISHED 12042/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:44229        ESTABLISHED 12044/sshd
tcp        0    840 45.33.71.204:22             200.29.174.125:44566        ESTABLISHED 12047/sshd
tcp        0     21 45.33.71.204:22             200.29.174.125:44844        ESTABLISHED 12056/sshd
tcp        0      0 45.33.71.204:22             200.29.174.125:45079        SYN_RECV    -
tcp        0     84 45.33.71.204:22             200.29.174.125:45079        ESTABLISHED 12058/sshd

Что я понимаю из вышеприведенного вывода, так это то, что этот человек (или бот?) Меняет порты каждую секунду, и поэтому новый PID для SSHD создается каждый раз, когда он (или он) "устанавливает" соединение. Я прав?

Следующая и более важная вещь, которую я хотел бы спросить: означает ли здесь состояние "УСТАНОВЛЕНО", что он (или он) действительно имеет доступ к моему серверу как пользователь root? Или, если я прав в своем предположении выше, означает ли это, что он (или он) сканирует порты на моем сервере, все еще пытаясь войти?

Источник

1 ответ

Решение

Установлено только означает, что соединение полностью открыто и данные могут быть переданы. Это не обязательно означает, что какие-либо данные были переданы! Это не имеет ничего общего с уровнем 7, независимо от того, прошел ли кто-то проверку подлинности в вашей системе или нет. Вы можете проверить системные журналы, чтобы узнать, успешно ли кто-то прошел аутентификацию.

Источник

Установлено означает, что у пользователя на другом конце есть открытое соединение, и поэтому такие вещи, как "shutdown -I", должны работать, кроме случаев, когда очевидно, что вы все равно не можете этого сделать. Я беспокоюсь только о выходах, помеченных как Установленные, если не нужны другие.

Источник
Другие вопросы по тегам