Eu criei um túnel ssh reverso entre um site de trabalho interno e minha estação de trabalho em casa. Meu objetivo era trabalhar no site interno remoto da minha estação de trabalho. Existe apenas um computador entre as extremidades e o problema vem dele. Nesse computador, há um cliente ssh que inicia o túnel. Há também um servidor ssh em execução nesse computador, mas para outras necessidades. Eu usei esta sintaxe abaixo para construir o túnel reverso:
ssh -R 9001:internal-website.com:443 [email protected]
Tudo funcionou bem. Mas quando eu verifiquei as conexões no computador entre as duas extremidades, notei um acesso não autorizado, e o endereço IP é da China (121.18.238.125):
root@windy:~# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
dhclient 3356 root 6u IPv4 5492 0t0 UDP *:bootpc
ntpd 3459 ntp 16u IPv6 8537 0t0 UDP *:ntp
ntpd 3459 ntp 17u IPv4 8540 0t0 UDP *:ntp
ntpd 3459 ntp 18u IPv4 8544 0t0 UDP localhost:ntp
ntpd 3459 ntp 19u IPv4 8546 0t0 UDP 10.4.103.17:ntp
ntpd 3459 ntp 20u IPv6 8548 0t0 UDP localhost:ntp
ntpd 3459 ntp 21u IPv6 8550 0t0 UDP [fe80::dc19:68ff:fe13:d008]:ntp
sshd 3463 root 3u IPv4 8572 0t0 TCP 10.4.103.17:ssh->home-server:47730 (ESTABLISHED)
sshd 3663 root 3u IPv4 8736 0t0 TCP *:ssh (LISTEN)
sshd 3663 root 4u IPv6 8738 0t0 TCP *:ssh (LISTEN)
sshd 3878 root 3u IPv4 8992 0t0 TCP 10.4.103.17:ssh->home-server:48680 (ESTABLISHED)
sshd 4092 root 3u IPv4 10068 0t0 TCP 10.4.103.17:ssh->home-server:48092 (ESTABLISHED)
ssh 4445 root 3u IPv4 14454 0t0 TCP 10.4.103.17:60988->home-server:ssh (ESTABLISHED)
sshd 4481 root 3u IPv4 15428 0t0 TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
sshd 4482 sshd 3u IPv4 15428 0t0 TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
No arquivo /var/log/auth.log, não encontrei nada suspeito. Apenas tentativas de falha ssh normais. Eu até encontrei o mesmo endereço entre as tentativas fracassadas. Eu fiz essa experiência duas vezes. A primeira vez que eu desativei o login da senha root e configurei a conexão de chave pública. e na segunda vez, eu defino o login da senha com uma senha strong para o usuário root. E ambas as experiências me deram o mesmo resultado (diferentes endereços de cada vez, mas ainda da china). Como poderia esse computador entre as duas extremidades ser comprometido? Estou esquecendo de algo ? Não consigo descobrir onde está o ponto fraco.
Para que a estação de trabalho doméstica esteja disponível na Internet, ativei um encaminhamento de porta no roteador local. Mais uma vez, usei uma senha strong e não encontrei nenhuma conexão suspeita.
Se você não me pegou bem, por favor, não hesite em pedir mais informações.
Tags ssh port-forwarding