FIN-WAIT-1 หมายความว่าฉันถูกแฮ็กหรือไม่

ฉันยังใหม่กับความปลอดภัยของเซิร์ฟเวอร์และนี่คือโพสต์แรกของฉันที่นี่ เมื่อเร็ว ๆ นี้ เซิร์ฟเวอร์ของฉันประสบปัญหาการพยายามเข้าสู่ระบบ SSH หลายครั้งจากแหล่งที่มาที่ไม่รู้จัก

สองสามนาทีที่แล้วฉันลงชื่อเข้าใช้เซิร์ฟเวอร์และตัดสินใจชำระเงิน ทีซีพี ซ็อกเก็ตโดยการออก เอสเอส -t คำสั่งและค้นพบซ็อกเก็ตใน FIN-รอ-1 สถานะ. ฉันไม่แน่ใจว่าจะคิดอย่างไรเกี่ยวกับเรื่องนี้ มีคนเชื่อมต่อสำเร็จหรือไม่?

สถานะ Recv-Q Send-Q ที่อยู่ในระบบ:พอร์ตเพียร์ ที่อยู่:พอร์ต            
FIN-WAIT-1 0 69 139.132.21.45:ssh 123.156.225.58:36092

อีกด้วย ล่าสุด คำสั่งให้รายการเหล่านี้แก่ฉัน แต่ฉันไม่ได้เข้าสู่ระบบในฐานะรูทในวันนี้

root ttyS0 อ. 2 พ.ย. 17:10 ยังคงเข้าสู่ระบบ
รีบูตระบบ บูต 4.15.0-161-gener อ. 2 พ.ย. 17:10 ยังคงทำงานอยู่

ฉันควรจะกังวลไหม?

ไม่ หมายความว่าซ็อกเก็ตปิดอยู่ มันคือ สถานะ TCP.

คุณสามารถดูการพยายามเชื่อมต่อกับเครื่องของคุณได้แบบเรียลไทม์ "tcpdump -v dst โฮสต์ {your_ip_ext} และ 'tcp[tcpflags] == tcp-syn' "

เมื่อคุณเห็น FIN-WAIT-1 ในเครื่องของคุณ netstat มันจะบอกอย่างนั้น

1. เครื่องของคุณอยู่ใกล้การเชื่อมต่อนี้มากขึ้น มันจะส่ง FIN ไปยังเพียร์เพื่อปิดการเชื่อมต่อ จากนั้นเครื่องของคุณจะเข้าสู่สถานะ FIN-WAIT-1

2. หากต้องการล้างสถานะ FIN-WAIT-1 เครื่องของคุณจะต้องได้รับแพ็กเก็ตตอบรับของแพ็กเก็ต FIN ข้างต้น หากได้รับแพ็กเก็ต ACK เครื่องจะเข้าสู่ FIN-WAIT-2

ดังนั้นหากสถิติติดอยู่ที่ FIN-WAIT-1 ก็หมายความว่า

1. แพ็กเก็ต FIN ไม่เคยไปถึงเพียร์ ดังนั้นเพียร์จะไม่ส่งแพ็กเก็ต ACK
2. แพ็กเก็ต FIN ไปถึงเพียร์ เพียร์ไม่ต้องการตอบสนองแพ็กเก็ต ACK
3. แพ็กเก็ต FIN ไปถึงเพียร์และตอบกลับแพ็กเก็ต ACK แต่แพ็กเก็ต ACK กำลังถูกทิ้งโดยอุปกรณ์บางอย่างในเส้นทางกลับไปที่เครื่องของคุณ