tcpdump
SSHで新しく作成されたVPS(OS:CentOS 7.1)を実行して出力を観察すると、突然次のメッセージが表示されます。
OPTIONS sip:100@My_VPS_IP SIP/2.0
Via: SIP/2.0/UDP 69.64.57.15:5596;branch=z9hG4bK-1736040942;rport
Content-Length: 0
From: "sipvicious"<sip:[email protected]>;tag=3264346531356562313363340132313937303630383239
Accept: application/sdp
User-Agent: friendly-scanner
To: "sipvicious"<sip:[email protected]>
Contact: sip:[email protected]:5596
CSeq: 1 OPTIONS
Call-ID: 557316745284479406993575
Max-Forwards: 70
最初は偽のIPメールを受け取ったと思いましたが、メールサービスを設定したことがないので混乱しました。
結果は次のとおりですss -tunpl
。
[root@localhost ~]# ss -tunpl
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
Cannot open netlink socket: Protocol not supported
udp UNCONN 0 0 *:46413 *:* users:(("ss-server",pid=25065,fd=5))
udp UNCONN 0 0 :::443 :::* users:(("kcp_server",pid=25027,fd=3))
Cannot open netlink socket: Protocol not supported
tcp LISTEN 0 0 *:22 *:* users:(("sshd",pid=128,fd=3))
tcp LISTEN 0 0 127.0.0.1:1080 *:* users:(("ss-server",pid=25065,fd=6))
tcp LISTEN 0 0 :::22 :::* users:(("sshd",pid=128,fd=4))
[root@localhost ~]#
プログラムSSサーバーそしてkcp_サーバーmail
どちらも強制認証を持つソックス5プロキシサーバーに似ています。これは、電子メールサービス(さらに)が私のVPSにインストールされていないことを意味しますCommand not found
。
また、SSHはRSA認証のみを許可するため、私の秘密鍵は十分に安全であると確信しています。また、このw
コマンドは、1人のユーザーだけがオンラインであることを示します。
しかし、上記のいずれも重要ではありません。幽霊メールと呼んでいます。どちらもrpcという空のファイルを持っているから/var/mail/
だ/var/spool/mail/
。
[root@localhost ~]# ls /var/mail
rpc
[root@localhost ~]# file /var/mail/rpc
/var/mail/rpc: empty
[root@localhost ~]# ls /var/spool/mail/
rpc
[root@localhost ~]# file /var/spool/mail/rpc
/var/spool/mail/rpc: empty
受信したメールが消えました!
これが私のVPSを安全にしないセキュリティバグではないことを願っています。
しかし、最も重要なことは、どのようにこのようなことが起こったのか知りたいです。その背後にあるメカニズムは何ですか?
答え1
これはSIP(VoIP)プローブ、SMTP、またはメールには関係ありません。