Регистрация Войти
Рейтинг:1
avatar Server

Означает ли FIN-WAIT-1, что меня взломали?

флаг dk
Eugene Epifanov

Я очень новичок в безопасности серверов, и это мой первый пост здесь. В последнее время на моем сервере было много попыток входа в SSH из неизвестных источников.

Пару минут назад я зашел на сервер и решил оформить заказ TCP сокеты путем выдачи сс -т команда и обнаружил сокет в FIN-WAIT-1 государство. Я не знаю, что об этом думать. Кто-нибудь успешно подключился?

Состояние Recv-Q Send-Q Локальный адрес:Порт Адрес равноправного узла:Порт            
FIN-WAIT-1 0 69 139.132.21.45:ssh 123.156.225.58:36092

Также прошлой команда дает мне эти записи, но сегодня я не вошел в систему как root.

root ttyS0 Вт 2 ноября 17:10 все еще в системе
reboot system boot 4.15.0-161-generer Вт 2 ноября 17:10 все еще работает

Я должен беспокоиться?

331
0 + 0
Рейтинг:4
Massimo avatar Server
флаг ng
Massimo

Кто-нибудь успешно подключился?

Да, но на самом деле это ничего не значит; это только говорит TCP-соединение было установлено, а затем закрыто. Нет никакой связи с тем, что удаленный пользователь мог или не мог делать.

Показательный пример: вы подключаетесь к удаленному хосту с помощью SSH, а затем предоставляете неправильные учетные данные; сервер закроет соединение. Соединение, закрытое сервером, перейдет (на некоторое время) в состояние FIN-WAIT-1. Но на самом деле никто не зарегистрировал это, это была просто неудачная попытка входа в систему.

на моем сервере было много попыток входа в SSH из неизвестных источников.

Если вы поймаете одну из этих попыток сразу после ее неудачи, сокет в состоянии FIN-WAIT-1 — это именно то, что вы увидите на сетевом уровне.

Сказав все вышесказанное, вы должны установить какой-либо брандмауэр перед своим сервером (или, по крайней мере, настроить системный брандмауэр так, чтобы разрешать вход только из известных, надежных источников); если вы оставляете какой-либо компьютер открытым для публичного Интернета на общих портах удаленного администрирования (SSH, RDP и т. д.), вы просто напрашиваетесь на неприятности.

0 + 0
флаг dk
Eugene Epifanov
сэр, большое спасибо. Это именно то, что мне нужно было знать! Хорошего дня!
0
Ответить
Massimo avatar
флаг ng
Massimo
Не за что. Если вы нашли ответ полезным, не забудьте проголосовать и принять его.
0
Ответить
Рейтинг:3
vidarlo avatar Server
флаг ar
vidarlo

Нет. Это означает, что сокет закрыт. Это Состояние TCP.

0 + 0
Рейтинг:1
borcan22 avatar Server
флаг sg
borcan22

Вы можете видеть в режиме реального времени попытки подключения к вашей машине с помощью "tcpdump -v dst host {your_ip_ext} и 'tcp[tcpflags] == tcp-syn'"

0 + 0
флаг dk
Eugene Epifanov
эй, спасибо вам за это! Хорошего дня!
0
Ответить
Рейтинг:0
avatar Server
флаг in
user955375

когда вы видите FIN-WAIT-1 в netstat вашей машины, это говорит, что

  1. ваша машина является активным замыкателем этого соединения, она отправляет FIN узлу, чтобы закрыть соединение. Затем ваша машина перейдет в состояние FIN-WAIT-1.

  2. Чтобы очистить статистику FIN-WAIT-1, ваша машина должна получить пакет подтверждения пакета FIN выше, если он получит пакет ACK, то он войдет в FIN-WAIT-2.

Итак, если стат застрял на FIN-WAIT-1, значит

  1. Пакет FIN никогда не достигает партнера, поэтому партнер никогда не отправит пакет ACK.
  2. Пакет FIN достигает однорангового узла, каким-то образом одноранговый узел не хочет отвечать на пакет ACK
  3. Пакет FIN достигает однорангового узла и отвечает на пакет ACK, но пакет ACK отбрасывается каким-либо устройством на обратном пути к вашей машине.
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.