«УСТАНОВЛЕНО» просто означает, что соединение установлено на уровне TCP; он ничего не говорит вам о том, прошли ли они аутентификацию. Общая последовательность такова:
Если кто-то запускает на вас атаку по подбору пароля, и вы проверяете, пока он пытается ввести пароль, вы увидите соединение «УСТАНОВЛЕНО». Если они не задерживаются между попытками (т. Е. Как только одна попытка подключения не удалась, подключитесь заново и попробуйте снова), то вы почти всегда будете видеть «УСТАНОВЛЕННОЕ» соединение.
С другой стороны, если вы видите, что одно и то же соединение остается активным некоторое время (то есть тот же удаленный IP-адрес и номера портов, а не постоянно меняются номера портов), то либо кто-то проник, либо они бездельничают в течение некоторого времени. ужасно долгое время между угадыванием пароля. В таком случае вам следует волноваться.
Но если вы действительно хотите знать, что происходит, проверьте журналы! (Как сказал Ипор Сирсер в комментарии.) Если злоумышленник не стер их, они будут гораздо более информативными, чем просто просмотр TCP-соединений.
Кроме того, поскольку вы подвергаетесь атаке (что происходит автоматически, поскольку у вас есть доступ к ssh в Интернете), убедитесь, что ваша служба ssh правильно заблокирована ! Отключите вход в систему с правами root, ограничьте количество пользователей, которые могут входить в систему, убедитесь, что вы используете трудно угадываемые пароли, и (если возможно) отключите пароли в пользу аутентификации с открытым ключом.