Я вошел на свой сервер с Centos 7 через ssh и выполнил следующую команду:
[me@server ~]$ ps -ef --forest | grep ssh
root 476 1 0 Dec02 ? 00:00:00 /usr/sbin/sshd -D
root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv]
me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0
me 12405 12369 0 23:27 pts/0 00:00:00 | \_ grep --color=auto ssh
root 12401 476 0 23:27 ? 00:00:00 \_ sshd: root [priv]
sshd 12402 12401 0 23:27 ? 00:00:00 \_ sshd: root [net]
me 12399 1 0 23:27 ? 00:00:00 ssh-agent
Какой второй дочерний процесс sshd (PID = 12401) принадлежит пользователю root? Может быть, это вредоносное соединение?
(После отключения root-доступа по ssh этот процесс не появляется.)
В этом примере вы видите эту пару процессов:
root 12401 476 0 23:27 ? 00:00:00 \_ sshd: root [priv]
sshd 12402 12401 0 23:27 ? 00:00:00 \_ sshd: root [net]
, которая сильно отличается от вашей пары:
root 12366 476 0 23:26 ? 00:00:00 \_ sshd: me[priv]
me 12368 12366 0 23:27 ? 00:00:00 | \_ sshd: me@pts/0
sshd: root [priv]
является привилегированным процессом демона, ожидающего аутентификации sshd: root [net]
потомка. Это означает, что в то время, когда вы выполняли ps
, выполнялась некоторая попытка аутентификации, при которой пользователь root
пытался войти в систему.
Это не редкость для общедоступных IP-адресов и для служб sshd
, работающих на стандартном порту. Вы можете получать сотни таких попыток каждый день, но если у вас надежный пароль, это не опасно.