tcpdumpSSH를 통해 새로 생성된 VPS(OS: CentOS 7.1)를 실행하고 출력을 관찰하면 갑자기 다음 메시지가 나타납니다.
OPTIONS sip:100@My_VPS_IP SIP/2.0
Via: SIP/2.0/UDP 69.64.57.15:5596;branch=z9hG4bK-1736040942;rport
Content-Length: 0
From: "sipvicious"<sip:[email protected]>;tag=3264346531356562313363340132313937303630383239
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:[email protected]>
Contact: sip:[email protected]:5596
CSeq: 1 OPTIONS
Call-ID: 557316745284479406993575
Max-Forwards: 70
처음에는 가짜 IP 이메일을 받은 줄 알았고 이메일 서비스를 설정해 본 적이 없어서 혼란스러웠습니다.
결과는 다음과 같습니다 ss -tunpl.
[root@localhost ~]# ss -tunpl
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
Cannot open netlink socket: Protocol not supported
udp UNCONN 0 0 *:46413 *:* users:(("ss-server",pid=25065,fd=5))
udp UNCONN 0 0 :::443 :::* users:(("kcp_server",pid=25027,fd=3))
Cannot open netlink socket: Protocol not supported
tcp LISTEN 0 0 *:22 *:* users:(("sshd",pid=128,fd=3))
tcp LISTEN 0 0 127.0.0.1:1080 *:* users:(("ss-server",pid=25065,fd=6))
tcp LISTEN 0 0 :::22 :::* users:(("sshd",pid=128,fd=4))
[root@localhost ~]#
프로그램SS 서버그리고kcp_서버mail둘 다 강제 인증이 있는 양말5 프록시 서버와 유사합니다. 이는 이메일 서비스( 심지어 )가 내 VPS에 설치되어 있지 않음을 의미합니다 Command not found.
또한 SSH는 RSA 인증만 허용하므로 내 개인 키가 충분히 안전하다고 확신합니다. 또한 이 w명령은 단 한 명의 사용자만 온라인 상태임을 보여줍니다.
그러나 위의 어느 것도 중요하지 않습니다. 나는 그것을 유령 이메일이라고 부른다. 둘 다 rpc라는 빈 파일을 갖고 있기 때문 /var/mail/이다 /var/spool/mail/.
[root@localhost ~]# ls /var/mail
rpc
[root@localhost ~]# file /var/mail/rpc
/var/mail/rpc: empty
[root@localhost ~]# ls /var/spool/mail/
rpc
[root@localhost ~]# file /var/spool/mail/rpc
/var/spool/mail/rpc: empty
받은 이메일이 사라졌어요!
이것이 내 VPS를 안전하지 않게 만드는 보안 버그가 아니기를 바랍니다.
하지만 가장 중요한 것은 어떻게 이런 일이 일어났는지 알고 싶습니다. 그 뒤에 있는 메커니즘은 무엇입니까?
답변1
이것은SIP(VoIP) 프로브, SMTP 또는 이메일과 관련이 없습니다.