<div dir="auto">You choose your own path and exit. It couldn't be any node before your chosen exit because of onion.<div dir="auto"><br></div><div dir="auto">You can't look for incoming traffic on your ssh server to know the bad node. You have to know your chosen exit from the client end, to know the MITM.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Aug 9, 2017 1:08 PM, "Alexander Nasonov" <<a href="mailto:alnsn@yandex.ru">alnsn@yandex.ru</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><a href="mailto:me@eugenemolotov.ru">me@eugenemolotov.ru</a> wrote:<br>
> Make a "trap" ssh server (for example on virtualbox machine<br>
> without any sensitive data) and log in into it through tsocks.<br>
> After that check from which ip it was logged in. This probably<br>
> would be ip of the exit node.<br>
<br>
What if they "bridge" mitm-ed traffic to a different host?<br>
<br>
I saw a similar ssh warning few weeks ago but I wasn't prepared to<br>
identify the bad exit. I set SafeLogging to 0 and I will enable<br>
debugging via SIGUSR2 next time this happens. Can someone confirm<br>
whether it's a good way of identifying bad exits?<br>
<br>
--<br>
Alex<br>
______________________________<wbr>_________________<br>
tor-relays mailing list<br>
<a href="mailto:tor-relays@lists.torproject.org">tor-relays@lists.torproject.<wbr>org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays" rel="noreferrer" target="_blank">https://lists.torproject.org/<wbr>cgi-bin/mailman/listinfo/tor-<wbr>relays</a><br>
</blockquote></div></div>