即使禁用了AllowTcpForwarding,SMTP 流量也会通过 SSH 转发

即使禁用了AllowTcpForwarding,SMTP 流量也会通过 SSH 转发

我在一台服务器上遇到了一种情况,它似乎通过 SSH 隧道发送的流量发送垃圾邮件。

下面的输出显示了与远程 SMTP 服务器的连接,这些连接似乎是通过 SSH 启动的

[~]# lsof -i | grep smtp | grep ssh | tail -5
sshd      1015801            root    6u  IPv4 2949384874      0t0  TCP hostname:47778->col0-mc4-f.col0.hotmail.com:smtp (ESTABLISHED)
sshd      1015801            root   10u  IPv4 2949384887      0t0  TCP hostname:44950->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd      1015801            root   12u  IPv4 2949384892      0t0  TCP hostname:44001->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd      1018332            root    9u  IPv4 2949372697      0t0  TCP hostname:53717->38.102.228.18:smtp (SYN_SENT)
sshd      1018394            root    6u  IPv4 2949396212      0t0  TCP hostname:39489->mailcluster.midco.net:smtp (ESTABLISHED)

服务器上禁用了 TCPForwarding,我也尝试完全重新安装 openssh。

 [~]# egrep -i "tcp|forward" /etc/ssh/sshd_config
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
#X11Forwarding yes
#TCPKeepAlive yes
#       X11Forwarding no
#       AllowTcpForwarding no

如果假设禁用 SSH,流量如何通过隧道传输?

我在这里读到的内容是否有误,这是否显示 SMTP 流量正在通过 SSH 转发?

是否可能有一些 ssh 配置的包含文件?

我知道服务器需要重建,因为它显然已经被 root,但我有兴趣了解这是如何发生的。

我做了一个 tcpdump

tcpdump -vv -x -X -n -s 1500 -i em1 'port number' >> /root/tcpdump.ssh

我可以看到建立连接的 IP 地址和活动的 ssh 进程,但我仍然不知道它们到底是如何转发流量的。

关于如何转发流量的任何想法,即使它应该被禁用?

相关内容