Những gì sshd: error: connect_to tầm thất bại trong Auth.log nghĩa là gì?

Tôi đã nhận thấy một số lần lặp lại thông báo lỗi sau /var/log/auth.logtrên máy chủ:

Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.

Tôi đã thay đổi địa chỉ IP thực tế, chúng là địa chỉ bên ngoài thường thuộc về máy chủ thư.

Phần tôi không hiểu chính xác là ai đang cố gắng kết nối với những địa chỉ đó và sshd phải làm gì với nó. Sshd đang chạy trên cổng 22, không có gì chạy trên cổng 25 trên máy chủ đó.

Chính xác thì dòng này có nghĩa là gì, ai là người khởi tạo kết nối và tại sao sshd lại liên quan?

Bạn có thể tái tạo điều này bằng cách thiết lập chuyển tiếp cổng động SSH:

man ssh:

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.  This works by allocating a socket
         to listen to port on the local side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over the secure channel, and the
         application protocol is then used to determine where to connect to from the remote machine.  Cur‐
         rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.  Only
         root can forward privileged ports.  Dynamic port forwardings can also be specified in the configu‐
         ration file.

         IPv6 addresses can be specified by enclosing the address in square brackets.  Only the superuser
         can forward privileged ports.  By default, the local port is bound in accordance with the
         GatewayPorts setting.  However, an explicit bind_address may be used to bind the connection to a
         specific address.  The bind_address of “localhost” indicates that the listening port be bound for
         local use only, while an empty address or ‘*’ indicates that the port should be available from all
         interfaces.

Bắt đầu proxy SOCKS trên localhost, cổng 2302:

$ ssh -v -ND 2302 user@host

Để định tuyến lưu lượng HTTP qua đường hầm này, trong Firefox:

Chỉnh sửa -> Tùy chọn -> Nâng cao -> tab Mạng -> Cài đặt -> Cấu hình proxy thủ công -> SOCKS Host: localhost và Cổng: 2302

Để sử dụng proxy SOCKS với lưu lượng khác, bạn có thể sử dụng chương trình vớ như tsocks:

[I] net-proxy/tsocks
     Available versions:  1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
     Installed versions:  1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
     Homepage:            http://tsocks.sourceforge.net/
     Description:         Transparent SOCKS v4 proxying library

Trên Gentoo của tôi, chỉnh sửa các tín hiệu /etc/socks/tsocks.conf:

# Otherwise we use the server
server = 127.0.0.1
server_port = 2302

Kiểm tra:

$ tsocks telnet 255.255.255.255 25

Bạn sẽ thấy một cái gì đó như thế này trong /var/log/securemáy chủ SSH:

sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.

Phần tôi không hiểu chính xác là ai đang cố gắng kết nối với những địa chỉ đó

Để thu hẹp, hãy xem /var/log/secure( auth.logtrên bản phân phối của bạn) và kiểm tra xem ai đã đăng nhập trước đây:

sshd[26898]: pam_unix(sshd:session): session opened for user quanta

Đặt shell của người dùng thành / bin / false không ngăn chuyển tiếp cổng ssh.

http://random.cconn.info/2012/05/06/binfalse-sbinnologin-and-ssh/ http://www.semicomplete.com/articles/ssh-security/

Vì vậy, tôi đoán là OP đã đăng nhập người dùng bằng mật khẩu yếu hoặc tầm thường, "vô hiệu hóa" tài khoản bằng cách đặt shell thành / bin / false hoặc / bin / nologin và nó đã bị khai thác để gửi thư rác bằng cách chuyển tiếp cổng ssh.

Có lẽ ai đó đăng nhập vào máy chủ của bạn đang cố gắng thiết lập một đường hầm ssh đến 1.1.1.1:25?