Я создал обратный туннель ssh между внутренним рабочим сайтом и моей домашней рабочей станцией. Моей целью было работать на удаленном внутреннем веб-сайте с моей рабочей станции. Между концами только компьютер, и проблема исходит от него. На этом компьютере есть клиент ssh, который инициирует туннель. На этом компьютере также работает ssh-сервер, но для других нужд. Я использовал этот синтаксис ниже, чтобы построить обратный туннель:
ssh -R 9001:internal-website.com:443 root@homeworkstation.com
Все нормально работало. Но когда я проверил соединения на компьютере между двумя концами, я заметил несанкционированный доступ и IP-адрес из Китая (121.18.238.125):
root@windy:~# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
dhclient 3356 root 6u IPv4 5492 0t0 UDP *:bootpc
ntpd 3459 ntp 16u IPv6 8537 0t0 UDP *:ntp
ntpd 3459 ntp 17u IPv4 8540 0t0 UDP *:ntp
ntpd 3459 ntp 18u IPv4 8544 0t0 UDP localhost:ntp
ntpd 3459 ntp 19u IPv4 8546 0t0 UDP 10.4.103.17:ntp
ntpd 3459 ntp 20u IPv6 8548 0t0 UDP localhost:ntp
ntpd 3459 ntp 21u IPv6 8550 0t0 UDP [fe80::dc19:68ff:fe13:d008]:ntp
sshd 3463 root 3u IPv4 8572 0t0 TCP 10.4.103.17:ssh->home-server:47730 (ESTABLISHED)
sshd 3663 root 3u IPv4 8736 0t0 TCP *:ssh (LISTEN)
sshd 3663 root 4u IPv6 8738 0t0 TCP *:ssh (LISTEN)
sshd 3878 root 3u IPv4 8992 0t0 TCP 10.4.103.17:ssh->home-server:48680 (ESTABLISHED)
sshd 4092 root 3u IPv4 10068 0t0 TCP 10.4.103.17:ssh->home-server:48092 (ESTABLISHED)
ssh 4445 root 3u IPv4 14454 0t0 TCP 10.4.103.17:60988->home-server:ssh (ESTABLISHED)
sshd 4481 root 3u IPv4 15428 0t0 TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
sshd 4482 sshd 3u IPv4 15428 0t0 TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
В файле /var/log/auth.log ничего подозрительного не нашел. Только нормальные неудачные попытки ssh. Я даже нашел этот адрес среди неудачных попыток. Я проделал это дважды. В первый раз я отключил логин с паролем root и установил соединение с открытым ключом. и во второй раз я установил пароль для входа с надежным паролем для пользователя root. И оба опыта дали мне одинаковый результат (каждый раз разные адреса, но все же из Китая). Как мог этот компьютер между двумя концами скомпрометирован? Я что-то упускаю ? Не могу понять, где слабое место.
Чтобы домашняя рабочая станция была доступна в Интернете, я включил переадресацию портов на локальном маршрутизаторе. Я снова использовал надежный пароль и не обнаружил на нем никаких подозрительных соединений.
Если вы меня не поправили, не стесняйтесь обращаться за дополнительной информацией.
Похоже, ваш lsof -i просто видит одну из этих неудачных попыток входа в систему.
Чтобы увидеть аналогичный результат, вы можете попробовать ssh to windy, например
ssh windy -l non-existend-user
и наблюдайте за выводом lsof, пока ваша попытка входа в систему запрашивает пароль.
TomTomTom