Я создал обратный туннель SSH между внутренним рабочим веб-сайтом и моей домашней рабочей станцией. Моей целью было работать на удаленном внутреннем веб-сайте с моей рабочей станции. Между концами есть только компьютер, и проблема в этом. На этом компьютере есть ssh-клиент, который запускает туннель. На этом компьютере также работает ssh-сервер, но для других нужд. Я использовал этот синтаксис ниже, чтобы построить обратный туннель:
ssh -R 9001:internal-website.com:443 root@homeworkstation.com
Все работало нормально Но когда я проверил соединения на компьютере между двумя концами, я заметил несанкционированный доступ, и IP-адрес из Китая (121.18.238.125):
root@windy:~# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
dhclient 3356 root 6u IPv4 5492 0t0 UDP *:bootpc
ntpd 3459 ntp 16u IPv6 8537 0t0 UDP *:ntp
ntpd 3459 ntp 17u IPv4 8540 0t0 UDP *:ntp
ntpd 3459 ntp 18u IPv4 8544 0t0 UDP localhost:ntp
ntpd 3459 ntp 19u IPv4 8546 0t0 UDP 10.4.103.17:ntp
ntpd 3459 ntp 20u IPv6 8548 0t0 UDP localhost:ntp
ntpd 3459 ntp 21u IPv6 8550 0t0 UDP [fe80::dc19:68ff:fe13:d008]:ntp
sshd 3463 root 3u IPv4 8572 0t0 TCP 10.4.103.17:ssh->home-server:47730 (ESTABLISHED)
sshd 3663 root 3u IPv4 8736 0t0 TCP *:ssh (LISTEN)
sshd 3663 root 4u IPv6 8738 0t0 TCP *:ssh (LISTEN)
sshd 3878 root 3u IPv4 8992 0t0 TCP 10.4.103.17:ssh->home-server:48680 (ESTABLISHED)
sshd 4092 root 3u IPv4 10068 0t0 TCP 10.4.103.17:ssh->home-server:48092 (ESTABLISHED)
ssh 4445 root 3u IPv4 14454 0t0 TCP 10.4.103.17:60988->home-server:ssh (ESTABLISHED)
sshd 4481 root 3u IPv4 15428 0t0 TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
sshd 4482 sshd 3u IPv4 15428 0t0 TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
В файле /var/log/auth.log я не нашел ничего подозрительного. Только нормальные ssh неудачные попытки. Я даже нашел тот же адрес среди неудачных попыток. Я сделал этот опыт дважды. В первый раз я деактивировал пароль входа в систему и установил соединение с открытым ключом. и во второй раз я устанавливаю пароль входа в систему с надежным паролем для пользователя root. И оба опыта дали мне один и тот же результат (каждый раз разные адреса, но все же из Китая). Как мог этот компьютер между двумя концами быть скомпрометирован? Я что-то пропустил ? Я не могу понять, где слабое место.
Чтобы домашняя рабочая станция была доступна для Интернета, я включил переадресацию портов на локальном маршрутизаторе. Еще раз, я использовал надежный пароль, и я не нашел никаких подозрительных связей с ним.
Если вы не поправили меня, пожалуйста, не стесняйтесь спрашивать дополнительную информацию.