SSHトンネルを介して送信されるスパムトラフィックのように見えるサーバー状況が発生しました。
以下の出力は、SSHを介して開始されるように見えるリモートSMTPサーバーへの接続を示しています。
[~]# lsof -i | grep smtp | grep ssh | tail -5
sshd 1015801 root 6u IPv4 2949384874 0t0 TCP hostname:47778->col0-mc4-f.col0.hotmail.com:smtp (ESTABLISHED)
sshd 1015801 root 10u IPv4 2949384887 0t0 TCP hostname:44950->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd 1015801 root 12u IPv4 2949384892 0t0 TCP hostname:44001->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd 1018332 root 9u IPv4 2949372697 0t0 TCP hostname:53717->38.102.228.18:smtp (SYN_SENT)
sshd 1018394 root 6u IPv4 2949396212 0t0 TCP hostname:39489->mailcluster.midco.net:smtp (ESTABLISHED)
サーバーでTCPForwardingが無効になっており、opensshを完全に再インストールしてみました。
[~]# egrep -i "tcp|forward" /etc/ssh/sshd_config
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
#X11Forwarding yes
#TCPKeepAlive yes
# X11Forwarding no
# AllowTcpForwarding no
SSHが無効になっていると仮定すると、トラフィックはどのようにトンネリングされますか?
私がここで読んでいる内容が間違っていますか? SSHを介して転送されるSMTPトラフィックは表示されますか?
SSH設定用の一部のインクルードファイルがありますか?
明らかにルートされているので、サーバーを再構築する必要があることを知っていますが、どのようにこれが起こるかを理解したいと思います。
tcpdumpを試しました
tcpdump -vv -x -X -n -s 1500 -i em1 'port number' >> /root/tcpdump.ssh
接続が確立されたIPアドレスとアクティブなSSHプロセスを見ることができますが、トラフィックを正確にどのように転送しているかはまだわかりません。
無効にする必要があるトラフィックを転送する方法についてのアイデアはありますか?