ゴーストメールを送るには?

ゴーストメールを送るには?

tcpdumpSSHで新しく作成されたVPS(OS:CentOS 7.1)を実行して出力を観察すると、突然次のメッセージが表示されます。

OPTIONS sip:100@My_VPS_IP SIP/2.0
Via: SIP/2.0/UDP 69.64.57.15:5596;branch=z9hG4bK-1736040942;rport
Content-Length: 0
From: "sipvicious"<sip:[email protected]>;tag=3264346531356562313363340132313937303630383239
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:[email protected]>
Contact: sip:[email protected]:5596
CSeq: 1 OPTIONS
Call-ID: 557316745284479406993575
Max-Forwards: 70

最初は偽のIPメールを受け取ったと思いましたが、メールサービスを設定したことがないので混乱しました。

結果は次のとおりですss -tunpl

[root@localhost ~]# ss -tunpl
Netid State      Recv-Q Send-Q                            Local Address:Port                                           Peer Address:Port              
Cannot open netlink socket: Protocol not supported
udp   UNCONN     0      0                                             *:46413                                                     *:*                   users:(("ss-server",pid=25065,fd=5))
udp   UNCONN     0      0                                            :::443                                                      :::*                   users:(("kcp_server",pid=25027,fd=3))
Cannot open netlink socket: Protocol not supported
tcp   LISTEN     0      0                                             *:22                                                        *:*                   users:(("sshd",pid=128,fd=3))
tcp   LISTEN     0      0                                     127.0.0.1:1080                                                      *:*                   users:(("ss-server",pid=25065,fd=6))
tcp   LISTEN     0      0                                            :::22                                                       :::*                   users:(("sshd",pid=128,fd=4))
[root@localhost ~]# 

プログラムSSサーバーそしてkcp_サーバーmailどちらも強制認証を持つソックス5プロキシサーバーに似ています。これは、電子メールサービス(さらに)が私のVPSにインストールされていないことを意味しますCommand not found

また、SSHはRSA認証のみを許可するため、私の秘密鍵は十分に安全であると確信しています。また、このwコマンドは、1人のユーザーだけがオンラインであることを示します。

しかし、上記のいずれも重要ではありません。幽霊メールと呼んでいます。どちらもrpcという空のファイルを持っているから/var/mail//var/spool/mail/

[root@localhost ~]# ls /var/mail       
rpc
[root@localhost ~]# file /var/mail/rpc 
/var/mail/rpc: empty
[root@localhost ~]# ls /var/spool/mail/    
rpc
[root@localhost ~]# file /var/spool/mail/rpc 
/var/spool/mail/rpc: empty

受信したメールが消えました!

これが私のVPSを安全にしないセキュリティバグではないことを願っています。

しかし、最も重要なことは、どのようにこのようなことが起こったのか知りたいです。その背後にあるメカニズムは何ですか?

答え1

これはSIP(VoIP)プローブ、SMTP、またはメールには関係ありません。

関連情報