questa è la situazione:
- vps con debian 8x32 vergine (nuovo modello del repository del provider);
- utente "esotico" e "password" strong;
- 30 secondi dopo: comando (apt-get update);
-
30 secondi dopo: comando (netstat);
-
netstat show:
- 1 x tcp ha stabilito la connessione sshd (il mio client ssh remoto);
- 1 x connessione sshd tcp ESTABLISHED (ip cinese) (piccolo attacco cardiaco);
-
30 secondi dopo: comando (cat /var/log.auth /);
- log contiene:
- solo la mia connessione remota "Accettata";
-
diversi tentativi di connessione non validi (forza bruta ssh);
-
30 secondi dopo:
- installato fail2ban per ssh e altri 4 servizi;
- ban permanente configurato (valore -1);
-
populated hosts.deny con alcuni ip che stanno attaccando;
-
2 giorni dopo: * log revision var / log / auth * | grep [Accettato, non valido, rifiutato, ecc.]
Tutto indica che nessun attacco ha avuto successo; Gli host ips.deny vengono espulsi perfettamente; Fail2ban funziona perfettamente; Gli attacchi di solo ip sono diminuiti; Ora i registri mostrano solo gli attacchi con ip e non con 200 attacchi da ip; Tutte le connessioni "Accettate" dei log sono corrette (solo io con il mio client remoto sono riuscito a collegarmi, apparentemente);
So che la prima cosa è disattivare root, password, ecc. e utilizzare la chiave pubblica e altre cose, ma la mia domanda si riferisce allo stato "ESTABLISHED" di una connessione SSH mostrata da netstat, ovvero:
-
È possibile che un risultato di netstat ESTABLISHED sia stato assunto ma non sia stato prodotto?
-
Il risultato di ESTABLISHED nestat indica definitivamente e definitivamente che la macchina è stata compromessa?
-
È possibile che l'attaccante stia giocando con SYN o SYN-ACK modificati per simulare una connessione STABLISHED falsa?
Extra: ho visto le connessioni ESTABLISHED 4 volte solo dopo essere stato bannato permanentemente da fail2ban e dopo 2 secondi sparare nuovamente netstat e vedere come la nonesione è svanita come un ninja;
Grazie in anticipo.