我在一台服务器上遇到了一种情况,它似乎通过 SSH 隧道发送的流量发送垃圾邮件。
下面的输出显示了与远程 SMTP 服务器的连接,这些连接似乎是通过 SSH 启动的
[~]# lsof -i | grep smtp | grep ssh | tail -5
sshd 1015801 root 6u IPv4 2949384874 0t0 TCP hostname:47778->col0-mc4-f.col0.hotmail.com:smtp (ESTABLISHED)
sshd 1015801 root 10u IPv4 2949384887 0t0 TCP hostname:44950->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd 1015801 root 12u IPv4 2949384892 0t0 TCP hostname:44001->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd 1018332 root 9u IPv4 2949372697 0t0 TCP hostname:53717->38.102.228.18:smtp (SYN_SENT)
sshd 1018394 root 6u IPv4 2949396212 0t0 TCP hostname:39489->mailcluster.midco.net:smtp (ESTABLISHED)
服务器上禁用了 TCPForwarding,我也尝试完全重新安装 openssh。
[~]# egrep -i "tcp|forward" /etc/ssh/sshd_config
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
#X11Forwarding yes
#TCPKeepAlive yes
# X11Forwarding no
# AllowTcpForwarding no
如果假设禁用 SSH,流量如何通过隧道传输?
我在这里读到的内容是否有误,这是否显示 SMTP 流量正在通过 SSH 转发?
是否可能有一些 ssh 配置的包含文件?
我知道服务器需要重建,因为它显然已经被 root,但我有兴趣了解这是如何发生的。
我做了一个 tcpdump
tcpdump -vv -x -X -n -s 1500 -i em1 'port number' >> /root/tcpdump.ssh
我可以看到建立连接的 IP 地址和活动的 ssh 进程,但我仍然不知道它们到底是如何转发流量的。
关于如何转发流量的任何想法,即使它应该被禁用?