AllowTcpForwardingが無効になっても、SMTPトラフィックはSSHを介して転送されます。

AllowTcpForwardingが無効になっても、SMTPトラフィックはSSHを介して転送されます。

SSHトンネルを介して送信されるスパムトラフィックのように見えるサーバー状況が発生しました。

以下の出力は、SSHを介して開始されるように見えるリモートSMTPサーバーへの接続を示しています。

[~]# lsof -i | grep smtp | grep ssh | tail -5
sshd      1015801            root    6u  IPv4 2949384874      0t0  TCP hostname:47778->col0-mc4-f.col0.hotmail.com:smtp (ESTABLISHED)
sshd      1015801            root   10u  IPv4 2949384887      0t0  TCP hostname:44950->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd      1015801            root   12u  IPv4 2949384892      0t0  TCP hostname:44001->bay0-mc5-f.bay0.hotmail.com:smtp (ESTABLISHED)
sshd      1018332            root    9u  IPv4 2949372697      0t0  TCP hostname:53717->38.102.228.18:smtp (SYN_SENT)
sshd      1018394            root    6u  IPv4 2949396212      0t0  TCP hostname:39489->mailcluster.midco.net:smtp (ESTABLISHED)

サーバーでTCPForwardingが無効になっており、opensshを完全に再インストールしてみました。

 [~]# egrep -i "tcp|forward" /etc/ssh/sshd_config
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
#X11Forwarding yes
#TCPKeepAlive yes
#       X11Forwarding no
#       AllowTcpForwarding no

SSHが無効になっていると仮定すると、トラフィックはどのようにトンネリングされますか?

私がここで読んでいる内容が間違っていますか? SSHを介して転送されるSMTPトラフィックは表示されますか?

SSH設定用の一部のインクルードファイルがありますか?

明らかにルートされているので、サーバーを再構築する必要があることを知っていますが、どのようにこれが起こるかを理解したいと思います。

tcpdumpを試しました

tcpdump -vv -x -X -n -s 1500 -i em1 'port number' >> /root/tcpdump.ssh

接続が確立されたIPアドレスとアクティブなSSHプロセスを見ることができますが、トラフィックを正確にどのように転送しているかはまだわかりません。

無効にする必要があるトラフィックを転送する方法についてのアイデアはありますか?

関連情報