FIN-WAIT-1 có nghĩa là tôi đã bị hack?

Tôi rất mới đối với bảo mật máy chủ và đây là bài đăng đầu tiên của tôi ở đây. Gần đây, máy chủ của tôi đã gặp phải nhiều lần đăng nhập SSH từ các nguồn không xác định.

Vài phút trước, tôi đã đăng nhập vào máy chủ và quyết định thanh toán tcp ổ cắm bằng cách phát hành ss -t lệnh và phát hiện ra một ổ cắm trong FIN-WAIT-1 tiểu bang. Tôi không chắc phải nghĩ gì về nó. Có ai đã kết nối thành công chưa?

State Recv-Q Send-Q Địa chỉ cục bộ:Cổng Địa chỉ ngang hàng:Cổng            
FIN-WAIT-1 0 69 139.132.21.45:ssh 123.156.225.58:36092

Cũng thế Cuối cùng lệnh cung cấp cho tôi các mục này, nhưng hôm nay tôi không đăng nhập với quyền root.

root ttyS0 Thứ ba ngày 2 tháng 11 17:10 vẫn đăng nhập
khởi động lại hệ thống boot 4.15.0-161-gen Thứ ba ngày 2 tháng 11 17:10 vẫn chạy

Tôi có nên lo lắng không?

Không. Điều đó có nghĩa là ổ cắm đã đóng. nó là một Trạng thái TCP.

Bạn có thể thấy trong thời gian thực các nỗ lực kết nối với máy của mình bằng "tcpdump -v dst host {your_ip_ext} và 'tcp[tcpflags] == tcp-syn'"

khi bạn thấy FIN-WAIT-1 trong netstat máy của mình, nó sẽ báo rằng

1. máy của bạn là thiết bị hoạt động gần hơn với kết nối này, nó sẽ gửi FIN đến thiết bị ngang hàng để đóng kết nối. Sau đó, máy của bạn sẽ vào trạng thái FIN-WAIT-1

2. Để xóa chỉ số FIN-WAIT-1, máy của bạn phải nhận được gói xác nhận của gói FIN ở trên, nếu nhận được gói ACK thì sẽ nhập FIN-WAIT-2

Vì vậy, nếu chỉ số bị kẹt ở FIN-WAIT-1 , điều đó có nghĩa là

1. Gói FIN không bao giờ đến được máy ngang hàng, vì vậy máy ngang hàng sẽ không bao giờ gửi gói ACK
2. Gói FIN đến ngang hàng, bằng cách nào đó, ngang hàng không muốn trả lời gói ACK
3. Gói FIN đến ngang hàng và trả lời gói ACK, nhưng gói ACK đang bị một số thiết bị loại bỏ trên đường dẫn trở lại máy của bạn