esta es la situacion:
- vps con debian 8x32 virgen (nueva plantilla del repositorio del proveedor);
- "usuario" exótico y "contraseña" segura;
- 30 segundos después: comando (apt-get update);
-
30 segundos después: comando (netstat);
-
netstat show:
- 1 x tcp estableció conexión sshd (mi cliente ssh remoto);
- 1 x tcp sshd connection ESTABLISHED (IP china) (ataque cardíaco pequeño);
-
30 segundos después: comando (cat /var/log.auth/);
- el registro contiene:
- solo mi conexión remota "Aceptada";
-
varios intentos de conexión no válidos (ssh brute force);
-
30 segundos después:
- instaló fail2ban para ssh y 4 servicios más;
- prohibición permanente configurada (valor -1);
-
hosts.deny poblados con algunas direcciones IP que están atacando;
-
2 días después: * revisión de registro var / log / auth * | grep [Aceptado, inválido, rechazado, etc.];
Todo indica que ningún ataque ha tenido éxito; Los ips hosts.deny son expulsados perfectamente; Fail2ban funciona perfectamente; Los ataques por solo ip han disminuido; Ahora los registros solo muestran los ataques por ip y no 200 ataques por ip; Todas las conexiones "Aceptadas" de los registros son correctas (solo yo con mi cliente remoto he tenido éxito en la conexión, al parecer);
Sé que lo primero es desactivar la raíz, las contraseñas, etc. y usar la clave pública y otras cosas, pero mi pregunta se refiere al estado "ESTABLECIDO" de una conexión SSH mostrada por netstat, es decir:
-
¿Es posible que se haya asumido un resultado de netstat ESTABLISHED pero no se haya producido?
-
¿El resultado de ESTABLISHED nestat definitivamente y definitivamente indica que la máquina ha sido comprometida?
-
¿Es posible que el atacante esté jugando con SYN o SYN-ACK modificado para simular una conexión STABLISHED falsa?
Extra: He visto conexiones ESTABLECIDAS 4 veces, justo después de que ban2 me haya prohibido de forma permanente y, después de 2 segundos, volver a encender netstat y ver cómo desapareció el nonxion como un ninja;
Gracias de antemano.