înregistrare Logare
Puncte:1
avatar Server

FIN-WAIT-1 înseamnă că am fost piratat?

drapel dk
Eugene Epifanov

Sunt foarte nou în securitatea serverelor și acesta este primul meu post aici. Recent, serverul meu a experimentat multe încercări de conectare SSH din surse necunoscute.

Acum câteva minute m-am autentificat la server și am decis să fac checkout tcp prize prin emitere ss -t comandă și a descoperit o priză în FIN-WAIT-1 stat. Nu sunt sigur ce să cred despre asta. S-a conectat cineva cu succes?

State Recv-Q Trimitere-Q Adresă locală:Port Adresă peer:Port            
FIN-WAIT-1 0 69 139.132.21.45:ssh 123.156.225.58:36092

De asemenea ultimul comanda îmi oferă aceste intrări, dar nu m-am autentificat ca root astăzi.

root ttyS0 Mar 2 nov 17:10 încă autentificat
reporniți sistemul de pornire 4.15.0-161-gener Mar 2 noiembrie 17:10 încă rulează

Ar trebui să îmi fac griji?

331
0 + 0
Puncte:4
Massimo avatar Server
drapel ng
Massimo

S-a conectat cineva cu succes?

Da, dar asta de fapt nu înseamnă nimic; doar spune o conexiune TCP a fost stabilită și apoi închisă. Nu există nicio relație cu ceea ce utilizatorul de la distanță a fost sau nu a putut să facă.

Caz concret: vă conectați la o gazdă la distanță folosind SSH, apoi furnizați acreditări greșite; serverul va închide conexiunea. O conexiune închisă de server va intra (pentru un timp) în stare FIN-WAIT-1. Dar nimeni nu a înregistrat-o de fapt, a fost pur și simplu o încercare de conectare eșuată.

serverul meu a experimentat multe încercări de conectare SSH din surse necunoscute.

Dacă surprindeți una dintre aceste încercări imediat după ce a eșuat, o priză în starea FIN-WAIT-1 este exact ceea ce ați vedea la nivel de rețea.

După ce am spus toate cele de mai sus, ar trebui să puneți un fel de firewall în fața serverului dvs. (sau cel puțin să configurați firewall-ul de sistem pentru a permite numai autentificare din surse cunoscute, de încredere); dacă lăsați orice computer expus internetului public pe porturi comune de administrare la distanță (SSH, RDP etc.), doar ceri probleme.

0 + 0
drapel dk
Eugene Epifanov
domnule, vă mulțumesc foarte mult. Exact asta trebuia sa stiu! O zi bună!
0
Răspunde
Massimo avatar
drapel ng
Massimo
Plăcerea este de partea mea. Dacă ați găsit răspunsul util, nu uitați să votați pozitiv și să îl acceptați.
0
Răspunde
Puncte:3
vidarlo avatar Server
drapel ar
vidarlo

Nu. Înseamnă că priza este închisă. E o Stare TCP.

0 + 0
Puncte:1
borcan22 avatar Server
drapel sg
borcan22

Puteți vedea în timp real încercările de conectare cu mașina dvs „tcpdump -v dst host {your_ip_ext} și „tcp[tcpflags] == tcp-syn””

0 + 0
drapel dk
Eugene Epifanov
hei, multumesc pentru asta! O zi bună!
0
Răspunde
Puncte:0
avatar Server
drapel in
user955375

când vedeți FIN-WAIT-1 în netstat-ul mașinii dvs., acesta spune asta

  1. mașina dvs. este cea mai apropiată activă a acestei conexiuni, trimite un FIN către peer pentru a închide conexiunea. Apoi mașina dvs. va intra în starea FIN-WAIT-1

  2. Pentru a șterge statistica FIN-WAIT-1, mașina dvs. trebuie să primească un pachet de confirmare a pachetului FIN de mai sus, dacă primește pachetul ACK, atunci va introduce FIN-WAIT-2

Deci, dacă statistica a rămas la FIN-WAIT-1 , înseamnă

  1. Pachetul FIN nu ajunge niciodată la peer, așa că peer nu va trimite niciodată un pachet ACK
  2. Pachetul FIN ajunge la peer, cumva peer-ul nu vrea să răspundă la un pachet ACK
  3. Pachetul FIN ajunge la peer și a răspuns pachetului ACK, dar pachetul ACK este aruncat de un dispozitiv pe calea înapoi către mașina dvs.
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.