AllowTcpForwarding이 비활성화된 경우에도 SMTP 트래픽은 SSH를 통해 전달됩니다.

AllowTcpForwarding이 비활성화된 경우에도 SMTP 트래픽은 SSH를 통해 전달됩니다.

SSH 터널을 통해 전송되는 스팸 트래픽인 것처럼 보이는 서버 상황이 발생했습니다.

아래 출력은 SSH를 통해 시작되는 것으로 보이는 원격 SMTP 서버에 대한 연결을 보여줍니다.

[~]# lsof -i | grep smtp | grep ssh | tail -5
sshd      1015801            root    6u  IPv4 2949384874      0t0  TCP hostname:47778->col0-mc4-f.col0.hotmail.com:smtp (ESTABLISHED)
sshd      1015801            root   10u  IPv4 2949384887      0t0  TCP hostname:44950->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd      1015801            root   12u  IPv4 2949384892      0t0  TCP hostname:44001->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd      1018332            root    9u  IPv4 2949372697      0t0  TCP hostname:53717->38.102.228.18:smtp (SYN_SENT)
sshd      1018394            root    6u  IPv4 2949396212      0t0  TCP hostname:39489->mailcluster.midco.net:smtp (ESTABLISHED)

서버에서 TCPForwarding이 비활성화되어 있으며 openssh를 완전히 다시 설치해 보았습니다.

 [~]# egrep -i "tcp|forward" /etc/ssh/sshd_config
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
#X11Forwarding yes
#TCPKeepAlive yes
#       X11Forwarding no
#       AllowTcpForwarding no

SSH가 비활성화된 것으로 가정하면 트래픽은 어떻게 터널링됩니까?

내가 여기서 읽고 있는 내용이 틀렸습니까? SSH를 통해 전달되는 SMTP 트래픽이 표시됩니까?

SSH 구성을 위한 일부 포함 파일이 있을 수 있습니까?

분명히 루팅되었기 때문에 서버를 다시 구축해야 한다는 것을 알고 있지만 어떻게 이런 일이 발생하는지 이해하고 싶습니다.

tcpdump를 해봤습니다

tcpdump -vv -x -X -n -s 1500 -i em1 'port number' >> /root/tcpdump.ssh

연결이 이루어진 IP 주소와 활성 SSH 프로세스를 볼 수 있지만 트래픽을 정확히 어떻게 전달하고 있는지는 여전히 알 수 없습니다.

비활성화되어야 하는 트래픽을 전달하는 방법에 대한 아이디어가 있습니까?

관련 정보