tcpdump当我通过 SSH 在新创建的 VPS(操作系统:CentOS 7.1)上运行并观察输出时,突然出现一条消息:
OPTIONS sip:100@My_VPS_IP SIP/2.0
Via: SIP/2.0/UDP 69.64.57.15:5596;branch=z9hG4bK-1736040942;rport
Content-Length: 0
From: "sipvicious"<sip:[email protected]>;tag=3264346531356562313363340132313937303630383239
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:[email protected]>
Contact: sip:[email protected]:5596
CSeq: 1 OPTIONS
Call-ID: 557316745284479406993575
Max-Forwards: 70
我首先以为我收到了一封假IP电子邮件,并且很困惑,因为我从未设置过电子邮件服务。
结果如下ss -tunpl:
[root@localhost ~]# ss -tunpl
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
Cannot open netlink socket: Protocol not supported
udp UNCONN 0 0 *:46413 *:* users:(("ss-server",pid=25065,fd=5))
udp UNCONN 0 0 :::443 :::* users:(("kcp_server",pid=25027,fd=3))
Cannot open netlink socket: Protocol not supported
tcp LISTEN 0 0 *:22 *:* users:(("sshd",pid=128,fd=3))
tcp LISTEN 0 0 127.0.0.1:1080 *:* users:(("ss-server",pid=25065,fd=6))
tcp LISTEN 0 0 :::22 :::* users:(("sshd",pid=128,fd=4))
[root@localhost ~]#
程序SS-服务器和kcp_服务器两者都类似于具有强制授权的socks5代理服务器,这意味着我的VPS中没有安装任何有关电子邮件服务的内容(甚至mail是Command not found)。
同时,ssh只允许RSA授权,我确信我的私钥足够安全。并且,该w命令显示只有一个用户在线。
不过,以上这些都不重要。我之所以称其为幽灵电子邮件,是因为两者/var/mail/都/var/spool/mail/只有一个名为 rpc 的空文件:
[root@localhost ~]# ls /var/mail
rpc
[root@localhost ~]# file /var/mail/rpc
/var/mail/rpc: empty
[root@localhost ~]# ls /var/spool/mail/
rpc
[root@localhost ~]# file /var/spool/mail/rpc
/var/spool/mail/rpc: empty
我收到的电子邮件消失了!
我希望这不是一个安全 BUG,导致我的 VPS 不安全。
但是,最重要的是:我想知道这是怎么发生的?其背后的机制是什么?
答案1
这是一个SIP (VoIP) 探针,与 SMTP 或电子邮件无关。