我在内部工作网站和我的家庭工作站之间创build了一个反向的ssh隧道。 我的目标是从我的工作站在远程内部网站上工作。 两端之间只有一台电脑,问题来自于它。 在那台电脑上,有一个启动隧道的ssh客户端。 还有一台运行在该计算机上的ssh服务器,但其他需要。 我使用下面的语法来构build反向隧道:
ssh -R 9001:internal-website.com:443 [email protected]
一切正常。 但是当我查看两端的电脑连接时,发现有一个未经授权的访问,IP地址来自中国(121.18.238.125):
root@windy:~# lsof -i COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME dhclient 3356 root 6u IPv4 5492 0t0 UDP *:bootpc ntpd 3459 ntp 16u IPv6 8537 0t0 UDP *:ntp ntpd 3459 ntp 17u IPv4 8540 0t0 UDP *:ntp ntpd 3459 ntp 18u IPv4 8544 0t0 UDP localhost:ntp ntpd 3459 ntp 19u IPv4 8546 0t0 UDP 10.4.103.17:ntp ntpd 3459 ntp 20u IPv6 8548 0t0 UDP localhost:ntp ntpd 3459 ntp 21u IPv6 8550 0t0 UDP [fe80::dc19:68ff:fe13:d008]:ntp sshd 3463 root 3u IPv4 8572 0t0 TCP 10.4.103.17:ssh->home-server:47730 (ESTABLISHED) sshd 3663 root 3u IPv4 8736 0t0 TCP *:ssh (LISTEN) sshd 3663 root 4u IPv6 8738 0t0 TCP *:ssh (LISTEN) sshd 3878 root 3u IPv4 8992 0t0 TCP 10.4.103.17:ssh->home-server:48680 (ESTABLISHED) sshd 4092 root 3u IPv4 10068 0t0 TCP 10.4.103.17:ssh->home-server:48092 (ESTABLISHED) ssh 4445 root 3u IPv4 14454 0t0 TCP 10.4.103.17:60988->home-server:ssh (ESTABLISHED) sshd 4481 root 3u IPv4 15428 0t0 TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED) sshd 4482 sshd 3u IPv4 15428 0t0 TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
在/var/log/auth.log文件中,我找不到任何可疑的东西。 只有正常的SSH失败的尝试。 我甚至在失败的尝试中find了相同的地址。 我做了两次这样的经历。 我第一次停用root密码login并设置公钥连接。 第二次,我为root用户设置了一个强密码的密码login。 这两个经验给了我相同的结果(每次不同的地址,但仍然来自中国)。 这台电脑怎么可能在两端受到损害? 我错过了什么吗? 我无法弄清楚弱点在哪里。
为了使家庭工作站可以在互联网上使用,我在本地路由器上启用了端口转发。 再一次,我用了一个强大的密码,我没有发现任何可疑的连接。
如果你没有得到我的好处,请不要犹豫,要求进一步的信息。
看起来像你的lsof – 我只是看到这些失败的login尝试之一。
要看到类似的输出,你可能会尝试ssh风刮
ssh windy -l non-existend-user
并在您的login尝试要求input密码时观看lsof输出。
TomTomTom