反向ssh隧道中的未经授权访问

Question

我在一个内部工作网站和我的家庭工作站之间创建了一个反向ssh隧道。我的目标是从我的工作站在远程内部网站上工作。在两端之间只有一台电脑，而问题来自于它。在该计算机上，有一个ssh客户端启动隧道。在这台计算机上也有一个ssh服务器在运行，但满足其他需要。我使用下面的syntaxe构建了反向隧道：

ssh -R 9001:internal-website.com:443 root@homeworkstation.com

一切都很好。但是当我检查电脑两端之间的连接时，我注意到一次未经授权的访问，IP地址来自中国(121.18.238.125)：

root@windy:~# lsof -i
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
dhclient 3356 root    6u  IPv4   5492      0t0  UDP *:bootpc 
ntpd     3459  ntp   16u  IPv6   8537      0t0  UDP *:ntp 
ntpd     3459  ntp   17u  IPv4   8540      0t0  UDP *:ntp 
ntpd     3459  ntp   18u  IPv4   8544      0t0  UDP localhost:ntp 
ntpd     3459  ntp   19u  IPv4   8546      0t0  UDP 10.4.103.17:ntp 
ntpd     3459  ntp   20u  IPv6   8548      0t0  UDP localhost:ntp 
ntpd     3459  ntp   21u  IPv6   8550      0t0  UDP [fe80::dc19:68ff:fe13:d008]:ntp 
sshd     3463 root    3u  IPv4   8572      0t0  TCP 10.4.103.17:ssh->home-server:47730 (ESTABLISHED)
sshd     3663 root    3u  IPv4   8736      0t0  TCP *:ssh (LISTEN)
sshd     3663 root    4u  IPv6   8738      0t0  TCP *:ssh (LISTEN)
sshd     3878 root    3u  IPv4   8992      0t0  TCP 10.4.103.17:ssh->home-server:48680 (ESTABLISHED)
sshd     4092 root    3u  IPv4  10068      0t0  TCP 10.4.103.17:ssh->home-server:48092 (ESTABLISHED)
ssh      4445 root    3u  IPv4  14454      0t0  TCP 10.4.103.17:60988->home-server:ssh (ESTABLISHED)
sshd     4481 root    3u  IPv4  15428      0t0  TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
sshd     4482 sshd    3u  IPv4  15428      0t0  TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)

在/var/log/auth.log文件中，我找不到任何可疑的东西。只有正常的ssh尝试失败。我甚至在失败的尝试中找到了相同的地址。我做过两次这种经历。第一次禁用root密码登录并设置公钥连接时。第二次，我为root用户设置了一个强密码登录密码。这两次经历给了我同样的结果(每次都有不同的地址，但仍然来自中国)。这台介于两端之间的计算机怎么可能被破坏呢？我漏掉了什么吗？我不知道弱点在哪里。

为了使家庭工作站可供互联网使用，我启用了本地路由器上的端口转发。再次，我使用了一个强大的密码，我没有发现任何可疑的联系在上面。

如果你没有很好地理解我，请不要犹豫，要求提供更多的信息。

Answer 1

看起来你的-i列表只是看到其中一个失败的登录尝试。

要查看类似的输出，您可以尝试ssh到windy，例如

ssh windy -l non-existend-user

并观察lsof输出，而您的登录尝试要求一个密码。

TomTomTom