Que signifie «sshd: error: connect_to… failed» dans auth.log?

9

J'ai remarqué plusieurs répétitions du message d'erreur suivant /var/log/auth.logsur un serveur:

Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.

J'ai changé l'adresse IP réelle, ce sont des adresses externes qui appartiennent souvent à des serveurs de messagerie.

La partie que je ne comprends pas est qui essaie exactement de se connecter à ces adresses et ce que sshd a à voir avec cela. Le sshd fonctionne sur le port 22, il n'y a rien sur le port 25 sur ce serveur.

Que signifie exactement cette ligne, qui initie la connexion et pourquoi sshd est-il impliqué?

user9361
la source

Réponses:

7

Vous pouvez reproduire cela en configurant la redirection de port dynamique SSH:

man ssh:

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.  This works by allocating a socket
         to listen to port on the local side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over the secure channel, and the
         application protocol is then used to determine where to connect to from the remote machine.  Cur‐
         rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.  Only
         root can forward privileged ports.  Dynamic port forwardings can also be specified in the configu‐
         ration file.

         IPv6 addresses can be specified by enclosing the address in square brackets.  Only the superuser
         can forward privileged ports.  By default, the local port is bound in accordance with the
         GatewayPorts setting.  However, an explicit bind_address may be used to bind the connection to a
         specific address.  The bind_address of “localhost” indicates that the listening port be bound for
         local use only, while an empty address or ‘*’ indicates that the port should be available from all
         interfaces.

Démarrez un proxy SOCKS sur localhost, port 2302:

$ ssh -v -ND 2302 user@host

Pour acheminer le trafic HTTP via ce tunnel, dans Firefox:

Édition -> Préférences -> Avancé -> onglet Réseau -> Paramètres -> Configuration manuelle du proxy -> Hôte SOCKS: localhost et Port: 2302

Afin d'utiliser le proxy SOCKS avec un autre trafic, vous pouvez utiliser un programme socksifier comme tsocks:

[I] net-proxy/tsocks
     Available versions:  1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
     Installed versions:  1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
     Homepage:            http://tsocks.sourceforge.net/
     Description:         Transparent SOCKS v4 proxying library

Sur mon Gentoo, éditez le /etc/socks/tsocks.confcomme ci-dessous:

# Otherwise we use the server
server = 127.0.0.1
server_port = 2302

Essai:

$ tsocks telnet 255.255.255.255 25

Vous verrez quelque chose comme ça sur le /var/log/secureserveur SSH:

sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.

La partie que je ne comprends pas est qui essaie exactement de se connecter à ces adresses

Pour affiner, jetez un œil à /var/log/secure( auth.logsur votre distribution) et examinez qui s'est connecté avant cela:

sshd[26898]: pam_unix(sshd:session): session opened for user quanta
quanta
la source
2

La définition du shell d'un utilisateur sur / bin / false n'empêche pas la redirection de port ssh.

http://random.cconn.info/2012/05/06/binfalse-sbinnologin-and-ssh/ http://www.semicomplete.com/articles/ssh-security/

Donc, je suppose que l'OP avait une connexion utilisateur avec un mot de passe faible ou trivial, "désactivé" le compte en définissant shell sur / bin / false ou / bin / nologin, et il a été exploité pour envoyer du spam par la redirection de port ssh.

Sam Watkins
la source
0

Peut-être que quelqu'un qui se connecte à votre serveur essaie d'établir un tunnel ssh vers 1.1.1.1:25?

Janne Pikkarainen
la source