много соединений ssh, которые неоднократно открываются одним и тем же пользователем на сервере Linux

Question

PS AUX дает мне что-то вроде этого:

root     30800  0.0  0.3 101792  6360 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30812  0.0  0.1 101792  3680 ?        S    17:23   0:00 sshd: user_name
root     30819  0.0  0.3 101792  6304 ?        Ss   17:01   0:00 sshd: user_name [priv]
root     30866  0.0  0.3 101792  6420 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30868  0.0  0.1 101792  3720 ?        S    17:23   0:00 sshd: user_name
root     30919  0.0  0.3 101792  6312 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30921  0.0  0.1 101792  3680 ?        S    17:23   0:00 sshd: user_name
root     30964  0.0  0.3 101792  6356 ?        Ss   17:23   0:00 sshd: user_name [priv]
user_na+ 30966  0.0  0.1 101792  3700 ?        S    17:24   0:00 sshd: user_name
user_na+ 30983  0.0  0.1 101792  3560 ?        S    17:01   0:00 sshd: user_name
root     31065  0.0  0.3 101792  6392 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31069  0.0  0.1 101792  3620 ?        S    17:24   0:00 sshd: user_name
root     31130  0.0  0.3 101792  6416 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31134  0.0  0.1 101792  3688 ?        S    17:24   0:00 sshd: user_name
root     31169  0.0  0.3 101792  6308 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31175  0.0  0.1 101792  3492 ?        S    17:24   0:00 sshd: user_name
root     31212  0.0  0.3 101792  6452 ?        Ss   17:24   0:00 sshd: user_name [priv]
user_na+ 31216  0.0  0.1 101792  3772 ?        S    17:24   0:00 sshd: user_name
root     31269  0.0  0.3 101792  6292 ?        Ss   17:24   0:00 sshd: user_name [priv]

Это просто сокращенный список, в нем около 150 строк.

после того, как я попытался убить их, появились новые sshd-соединения.

Пользователь "user_name" отключен, если я делаю cat /etc /passwd | grep user_name, я получаю это:

user_name:x:1521:1521::/home/user_name:/usr/sbin/nologin

Кто-то пытается взломать здесь или как я могу узнать, что здесь происходит?

Answer 1

Возможно, что user_name имеет файл ~user_name/.ssh/authorized_keys , который, если вы разрешите логин на основе ключей в sshd_config , может также обойти ограничения на вход в систему на основе пароля в зависимости от настроек аутентификации. Например, системы на основе pam часто имеют отдельную конфигурацию соединения ssh (см. /etc/pam.d/sshd). Кроме того, только потому, что оболочкой входа в систему user_name является /usr/sbin/nologin , не означает, что ssh соединения не могут быть установлены, если клиент указывает команду, которая будет запущена как часть соединения.

Что касается, если вы подвергаетесь нападению, я не могу сказать. Вы можете увидеть, какие другие процессы принадлежат этому идентификатору пользователя.