Порт 22 признает, что соединения, но не видимые в netstat, раскрывают и т.д.
Таким образом, у меня есть эта странная проблема, где одно из моих полей принимает соединение на ssh порте (22) даже после того, как sshd останавливается. Я пытался определить процесс слушания типичными средствами
sudo netstat -antp | grep 22 # nothing
sudo unhide-tcp # no hidden tcp ports
Когда я пытаюсь соединиться с портом 22, он просит пароль даже при том, что у меня есть установка основанная на ключе аутентификация на этой машине.
Я боюсь, если существует руткит или некоторое подобное вредоносное программное обеспечение на моей машине.
Вы видели что-то вроде этого прежде?
ОС - Ubuntu 14.04 LTS
Если это действительно скрытый процесс, и вы не допускаете какой-либо ошибки (например, inetd упомянутый выше Уве), попробуйте следующее:
- Бомбардируйте порт 22 с множеством фиктивных подключений прямо из Ethernet
- Посмотрите, что появляется вверху
- Если ничего не всплывает, по крайней мере, посмотрите, значительно ли возрастет нагрузка
Чтобы все это произошло, вы должны подавить остальной трафик, поэтому на рабочем сервере это может быть проблематично.
Даже если у вас установлен механизм аутентификации на основе ключа - он должен быть через протокол, такой как ssh. но в вашем случае вы можете попробовать следующее:
Войти на сервер и
tail -f / var / log / secure
затем с другого терминала попробуйте войти в систему и посмотрите, какие журналы там записаны.
Проверьте, настроен ли SSH для прослушивания и другого порта - в файле sshd_config
Проверьте iptables - посмотрите, есть ли перенаправление портов проверить процесс
sudo ps -ef | grep -i ssh
Еще раз проверить с помощью netstat все процессы внимательно
netstat -tulpn