En sağdaki "961/sshd: unknown" oturum açılmadığını işaret ediyor. Eğer başarılı ssh logini olmuş olsaydı sizin logininiz gibi "604/sshd: root@pts" şeklinde görünüyordu.
SSH'da password prompt'u gördüğünüz zaman da connection established olmuş oluyor zira. Bu, TCP bağlantısı açıldığını gösteriyor. Oturum değil. 2017-09-05 14:48 GMT+03:00 Mehmet T <[email protected]>: > netstat çıktısı aynen şöyle > > 78 ile baslayan ev ip adresim 77 ile baslayan supheli ip > > cp 0 0 torium1:domain 0.0.0.0:* > LISTEN 649/named > tcp 0 0 localhost.locald:domain 0.0.0.0:* > LISTEN 649/named > tcp 0 0 0.0.0.0:ftp 0.0.0.0:* > LISTEN 163/pure-ftpd (SERV > tcp 0 0 0.0.0.0:ssh 0.0.0.0:* > LISTEN 164/sshd > tcp 0 0 localhost.localdom:rndc 0.0.0.0:* > LISTEN 649/named > tcp 0 0 0.0.0.0:smtp 0.0.0.0:* > LISTEN 131/exim > tcp 0 0 0.0.0.0:https 0.0.0.0:* > LISTEN 369/httpd > tcp 0 0 0.0.0.0:tsrmagt 0.0.0.0:* > LISTEN 688/cpdavd - accept > tcp 0 0 0.0.0.0:tpcsrvr 0.0.0.0:* > LISTEN 688/cpdavd - accept > tcp 0 0 0.0.0.0:idware-router 0.0.0.0:* > LISTEN 688/cpdavd - accept > tcp 0 0 0.0.0.0:autodesk-nlm 0.0.0.0:* > LISTEN 688/cpdavd - accept > tcp 0 0 0.0.0.0:imaps 0.0.0.0:* > LISTEN 110/dovecot > tcp 0 0 0.0.0.0:infowave 0.0.0.0:* > LISTEN 625/cpsrvd (SSL) - > tcp 0 0 0.0.0.0:radsec 0.0.0.0:* > LISTEN 625/cpsrvd (SSL) - > tcp 0 0 0.0.0.0:pop3s 0.0.0.0:* > LISTEN 110/dovecot > tcp 0 0 0.0.0.0:gnunet 0.0.0.0:* > LISTEN 625/cpsrvd (SSL) - > tcp 0 0 0.0.0.0:eli 0.0.0.0:* > LISTEN 625/cpsrvd (SSL) - > tcp 0 0 0.0.0.0:submission 0.0.0.0:* > LISTEN 131/exim > tcp 0 0 0.0.0.0:pop3 0.0.0.0:* > LISTEN 110/dovecot > tcp 0 0 localhost.localdoma:783 0.0.0.0:* > LISTEN 622/spamd-dormant: > tcp 0 0 0.0.0.0:nbx-ser 0.0.0.0:* > LISTEN 625/cpsrvd (SSL) - > tcp 0 0 0.0.0.0:imap 0.0.0.0:* > LISTEN 110/dovecot > tcp 0 0 0.0.0.0:sunrpc 0.0.0.0:* > LISTEN 1/init > tcp 0 0 0.0.0.0:nbx-dir 0.0.0.0:* > LISTEN 625/cpsrvd (SSL) - > tcp 0 0 0.0.0.0:http 0.0.0.0:* > LISTEN 369/httpd > tcp 0 0 0.0.0.0:urd 0.0.0.0:* > LISTEN 131/exim > tcp 0 0 torium1:4 auth5.cpanel.net:sep > TIME_WAIT - > tcp 0 0 localhost.localdo:46429 localhost.localdoma:783 > TIME_WAIT - > tcp 0 0 localhost.localdo:50573 localhost.localdom:smtp > TIME_WAIT - > tcp 0 0 localhost.locald:gnunet localhost.localdo:35070 > TIME_WAIT - > tcp 0 0 localhost.local:tsrmagt localhost.localdo:46509 > TIME_WAIT - > tcp 0 2716 torium1:ssh 78.190.117.171.st:38572 > ESTABLISHED 604/sshd: root@pts/ > tcp 0 0 localhost.localdo:50337 localhost.localdom:rndc > TIME_WAIT - > tcp 0 0 torium1:ssh 77.73.66.172:32998 > ESTABLISHED 961/sshd: unknown [ > tcp6 0 0 [::]:ftp [::]:* > LISTEN 163/pure-ftpd (SERV > tcp6 0 0 [::]:ssh [::]:* > LISTEN 164/sshd > tcp6 0 0 [::]:smtp [::]:* > LISTEN 131/exim > tcp6 0 0 [::]:https [::]:* > LISTEN 369/httpd > tcp6 0 0 [::]:imaps [::]:* > LISTEN 110/dovecot > tcp6 0 0 [::]:pop3s [::]:* > LISTEN 110/dovecot > tcp6 0 0 [::]:mysql [::]:* > LISTEN 386/mysqld > tcp6 0 0 [::]:submission [::]:* > LISTEN 131/exim > tcp6 0 0 [::]:pop3 [::]:* > LISTEN 110/dovecot > tcp6 0 0 [::]:imap [::]:* > LISTEN 110/dovecot > tcp6 0 0 [::]:http [::]:* > LISTEN 369/httpd > tcp6 0 0 [::]:urd [::]:* > LISTEN 131/exim > > > > > > > 05-09-2017 14:43 tarihinde Burak Bozyiğit yazdı: > > Selam, > > SSH portuna birisi oturum açmaya çalışıyor veya açmış. Arya'nın dediğine > katılıyorum. Dünyaya açık 22. portlar her zaman taramalara maruz kalırlar. > > Established yanında, PID/Program Name kısmında bir username yazıyor mu? > who komutunun sonucunda oturum açmış başka birisi var mı? Kendi oturumunuzu > farklı bir satırda görebiliyor musunuz? > > Root ve password ile erişimi de kapatıp, yalnızca keyle girilecek şekilde > yapılandırırsanız yapılandırmanızı tavsiye ederim. > > > > > > 2017-09-05 14:36 GMT+03:00 Arya Emini <[email protected]>: > >> Selam >> >> SSH portunu yalnizca guvendiginiz yerlere acin. >> >> 2017-09-05 14:31 GMT+03:00 Mehmet T <[email protected]>: >> >>> sıfır centos7 sunucuma cpanel kurdum (başka hiçbişey kurmadım) >>> netstat -tap komutula sorguladıgımda benim ev ip adresim ile birlikte >>> yine ssh portundan baglanan birisi var. >>> 77.73.66.172:32998 ESTABLISHED 961/ >>> >>> ipsorgu sitesinden baktım rusyada gozukuyor. >>> _______________________________________________ >>> Linux-sunucu E-Posta Listesi >>> [email protected] >>> >>> Liste kurallarını http://liste.linux.org.tr/kurallar.php >>> bağlantısından okuyabilirsiniz; >>> >>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden >>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini >>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. >>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >>> >> >> >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> [email protected] >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> >> > > > -- > Saygılarımla > > Burak Bozyiğit > [email protected] > > > _______________________________________________ > Linux-sunucu E-Posta [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi > sonlandırabilirsiniz.https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > -- Saygılarımla Burak Bozyiğit [email protected]
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
