SSH 터널을 통해 전송되는 스팸 트래픽인 것처럼 보이는 서버 상황이 발생했습니다.
아래 출력은 SSH를 통해 시작되는 것으로 보이는 원격 SMTP 서버에 대한 연결을 보여줍니다.
[~]# lsof -i | grep smtp | grep ssh | tail -5
sshd 1015801 root 6u IPv4 2949384874 0t0 TCP hostname:47778->col0-mc4-f.col0.hotmail.com:smtp (ESTABLISHED)
sshd 1015801 root 10u IPv4 2949384887 0t0 TCP hostname:44950->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd 1015801 root 12u IPv4 2949384892 0t0 TCP hostname:44001->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd 1018332 root 9u IPv4 2949372697 0t0 TCP hostname:53717->38.102.228.18:smtp (SYN_SENT)
sshd 1018394 root 6u IPv4 2949396212 0t0 TCP hostname:39489->mailcluster.midco.net:smtp (ESTABLISHED)
서버에서 TCPForwarding이 비활성화되어 있으며 openssh를 완전히 다시 설치해 보았습니다.
[~]# egrep -i "tcp|forward" /etc/ssh/sshd_config
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
#X11Forwarding yes
#TCPKeepAlive yes
# X11Forwarding no
# AllowTcpForwarding no
SSH가 비활성화된 것으로 가정하면 트래픽은 어떻게 터널링됩니까?
내가 여기서 읽고 있는 내용이 틀렸습니까? SSH를 통해 전달되는 SMTP 트래픽이 표시됩니까?
SSH 구성을 위한 일부 포함 파일이 있을 수 있습니까?
분명히 루팅되었기 때문에 서버를 다시 구축해야 한다는 것을 알고 있지만 어떻게 이런 일이 발생하는지 이해하고 싶습니다.
tcpdump를 해봤습니다
tcpdump -vv -x -X -n -s 1500 -i em1 'port number' >> /root/tcpdump.ssh
연결이 이루어진 IP 주소와 활성 SSH 프로세스를 볼 수 있지만 트래픽을 정확히 어떻게 전달하고 있는지는 여전히 알 수 없습니다.
비활성화되어야 하는 트래픽을 전달하는 방법에 대한 아이디어가 있습니까?