1

Мой друг отправляет мне это. Он боится, что процесс 7680 является нарушителем. Является ли это возможным ? Может ли быть так, что он выполнил команду sudo (что разветвило бы оболочку?). Он недавно упомянул о подключении по ssh к целевой машине.

ps aux|grep ssh
 root       681  0.0  0.0   6308   668 ?        Ss   Feb22   0:00 /usr/sbin/sshd
 fanfan     898  0.0  0.0   4024   152 ?        Ss   Feb22   0:00 /usr/bin/ssh-agent -s
 root     26308  0.3  0.0   7680  2340 ?        Ss   12:05   0:00 sshd: [accepted]
 nobody   26309  0.0  0.0   7652  1068 ?        S    12:05   0:00 sshd: [net]
 root     26311  0.0  0.0    964   160 pts/2    D+   12:05   0:00 grep ssh
|источник

1 ответ1

4

Конечно, это может быть кто-то, пытающийся установить ssh-сессию с компьютером. В зависимости от используемой операционной системы такие сеансы будут записываться.

Обычно они регистрируются в одном из следующих файлов:

/var/log/syslog
/var/log/auth
/var/log/auth.log
/var/log/secure
/var/logs/system.log

Если вы ничего не можете найти, попробуйте запустить эти команды с привилегиями root, чтобы дать вам представление о том, где искать:

grep -ir ssh /var/log/*
grep -ir sshd /var/log/*
grep -ir breakin /var/log/*
grep -ir security /var/log/*

Посмотрите, отображаются ли в журналах подозрительные IP-адреса, имена хостов или предупреждения. Если это так, вы можете занести их в черный список.

Если вы перезагрузите компьютер, оставшиеся сеансы SSH должны исчезнуть. Так что, если эти процессы продолжают порождаться без вашего друга, использующего SSH, что-то или кто-то еще подключается к компьютеру.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .