初心者で、自宅サーバを立てているところなのですが、

初心者で、自宅サーバを立てているところなのですが、
遠隔からsshで自宅サーバへ入っていて、
# netstat -an
をしたら、自分以外のグローバルIPアドレスから、sshで"ESTABLISHED"状態している行があるということは、私以外の者が、自宅サーバに入っているということでしょうか?

その行の送信-Qが"264"とか"300"などと表示されるのですが（下記）
~# netstat -na
稼働中のインターネット接続 (サーバと確立)
Proto 受信-Q 送信-Q 内部アドレス 外部アドレス 状態
tcp 0 264 192.168.X.XXX:22 XXX.XX.X.XXX:3384 ESTABLISHED

これは何かハッキングしている最中と考えられますでしょうか?

iptables などを設定していないので、とても危険な状態でしょうが、
これから設定しようと思っています。

こんな初心者ですが、どなたかネットワークセキュリティの良書を教えていただければ、
幸いです。
よろしくお願いします。

No.2 ベストアンサー 回答者： 774danger 回答日時： 2010/08/11 17:36

SHはともかく、TCPの状態遷移やnetstatの応答をちゃんと理解しないで回答している人がいるようですが...........

ESTABLISHEDはすでにTCPのセッションが確立している状態です
http://www.atmarkit.co.jp/fwin2k/network/baswinl …

ただ単にsshdが動いている状態であれば、

tcp4 0 0 *.22 *.* LISTEN
tcp6 0 0 *.22 *.* LISTEN

のようにLISTENの状態になります
(うちのサーバはIPv6も動かしているのでtcp6も表示されますが)

TCPのセッションが張られていて、パスワード認証が許可されていればアカウント/passwordが入力できる状態です

> 私以外の者が、自宅サーバに入っているということでしょうか?

それなりに送信queueの値も増えていますから、辞書攻撃等を受けていてもおかしくない状態かと
まずはすぐsyslogを確認して、辞書攻撃を受けていなかったか確認しましょう

外部に22/TCPを開けていると、毎日最低数回はお客さんが来ますよ
特に外国からが多いので、うちでは自分が使うプロバイダからのIPアドレス以外は22/TCPをルータで落とすようにしています
(22/TCPのrejectログはルータからサーバにsyslogで転送するようにしている)

この回答へのお礼

アドバイスありがとうございます。
syslogの確認してみます。
私の使用ルータには、そのような便利な機能がないので、Linuxサーバ自身にパケットフィルタをかけることになると思います。

それとも、774dangerさんはご自分でルータを作ったのでしょうか。

とりあえず、私はiptablesの習得をしなければいけませんね。

お礼日時：2010/08/11 18:52

No.1 回答者： yama-taku 回答日時： 2010/08/10 23:56

SSHサービスには詳しくないのですが。

違うと思います。

Netstatは、生きているポートをしめすもので、稼動中サービスを
示すだけなので、そこでEstablishedは「動いている」という
意味にしかなりません。

各サービスがハッキングされるというのは
・サービスが動いている
・TCP/IPセッションに繋がれている
・そのサービスプロトコルでアクセスされている
・そのサービスにログインされている
ことを言いますので、ちょっとよそから突っつかれるレベルは
ハッキングと言いません。

実際にハッキングされているかどうかは、sshのログと、
ファイアウォールのログあたりを見ないとわからないと
おもいます。

この回答へのお礼

早速の回答ありがとうございます。

ハッキングの具体例を教えていただきまして勉強になりました。

いずれにせよ、セキュリティをやらなければ他人に迷惑をかけてしまいますよね

お礼日時：2010/08/11 00:46