Вопросы Теги

Несанкционированный доступ в обратном туннеле ssh

Я создал обратный туннель ssh. Моей целью было работать на удаленном внутреннем веб-сайте с моей рабочей станции. Между концами только компьютер, и проблема исходит от него. На этом компьютере есть клиент ssh, который инициирует туннель. На этом компьютере также работает ssh-сервер, но для других нужд. Я использовал следующий синтаксис для создания обратного туннеля:

ssh -R 9001: internal-website.com: 443 root@homeworkstation.com

Все работало нормально. Но когда я проверил соединения на компьютере между двумя концами, я заметил несанкционированный доступ и IP-адрес из Китая (121.18.238.125): 

root@windy:~# lsof -i
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
dhclient 3356 root    6u  IPv4   5492      0t0  UDP *:bootpc 
ntpd     3459  ntp   16u  IPv6   8537      0t0  UDP *:ntp 
ntpd     3459  ntp   17u  IPv4   8540      0t0  UDP *:ntp 
ntpd     3459  ntp   18u  IPv4   8544      0t0  UDP localhost:ntp 
ntpd     3459  ntp   19u  IPv4   8546      0t0  UDP 10.4.103.17:ntp 
ntpd     3459  ntp   20u  IPv6   8548      0t0  UDP localhost:ntp 
ntpd     3459  ntp   21u  IPv6   8550      0t0  UDP [fe80::dc19:68ff:fe13:d008]:ntp 
sshd     3463 root    3u  IPv4   8572      0t0  TCP 10.4.103.17:ssh->home-server:47730 (ESTABLISHED)
sshd     3663 root    3u  IPv4   8736      0t0  TCP *:ssh (LISTEN)
sshd     3663 root    4u  IPv6   8738      0t0  TCP *:ssh (LISTEN)
sshd     3878 root    3u  IPv4   8992      0t0  TCP 10.4.103.17:ssh->home-server:48680 (ESTABLISHED)
sshd     4092 root    3u  IPv4  10068      0t0  TCP 10.4.103.17:ssh->home-server:48092 (ESTABLISHED)
ssh      4445 root    3u  IPv4  14454      0t0  TCP 10.4.103.17:60988->home-server:ssh (ESTABLISHED)
sshd     4481 root    3u  IPv4  15428      0t0  TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
sshd     4482 sshd    3u  IPv4  15428      0t0  TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)

В файле /var/log/auth.log я не мог Ничего подозрительного не нахожу. Только нормальные неудачные попытки ssh. Я даже нашел этот адрес среди неудачных попыток. Я проделал это дважды. В первый раз я отключил логин с паролем root и установил соединение с открытым ключом. и во второй раз я установил пароль для входа с надежным паролем для пользователя root. И оба опыта дали мне одинаковый результат (каждый раз разные адреса, но все же из Китая). Как мог этот компьютер между двумя концами скомпрометирован? Я что-то пропустил ? Я не могу понять, где находится слабое место.

Чтобы домашняя рабочая станция была доступна в Интернете, я включил переадресацию портов на локальном маршрутизаторе. И снова я использовал надежный пароль и не обнаружил в нем никаких подозрительных соединений.

Если вы меня не очень хорошо поняли, не стесняйтесь спрашивать дополнительную информацию.

0
задан 29 August 2017 в 12:42
1 ответ

Похоже, ваш lsof -i просто видит одну из этих неудачных попыток входа в систему.

Чтобы увидеть аналогичный результат, вы можете попробовать ssh to windy, например 

ssh windy -l non-existend-user

, и посмотреть вывод lsof, пока ваша попытка входа в систему запрашивает пароль.

TomTomTom

0
ответ дан 24 November 2019 в 03:57

Теги

Похожие вопросы