Was bedeutet "sshd: error: connect_to ... failed" in auth.log?

Ich habe mehrere Wiederholungen der folgenden Fehlermeldung /var/log/auth.logauf einem Server bemerkt :

Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.

Ich habe die tatsächliche IP-Adresse geändert. Es handelt sich um externe Adressen, die häufig zu Mailservern gehören.

Der Teil, den ich nicht verstehe, ist, wer genau versucht, eine Verbindung zu diesen Adressen herzustellen, und was sshd damit zu tun hat. Der sshd wird auf Port 22 ausgeführt, auf Port 25 auf diesem Server wird nichts ausgeführt.

Was genau bedeutet diese Zeile, wer initiiert die Verbindung und warum ist sshd beteiligt?

Sie können dies reproduzieren, indem Sie die dynamische SSH-Portweiterleitung einrichten:

man ssh::

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.  This works by allocating a socket
         to listen to port on the local side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over the secure channel, and the
         application protocol is then used to determine where to connect to from the remote machine.  Cur‐
         rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.  Only
         root can forward privileged ports.  Dynamic port forwardings can also be specified in the configu‐
         ration file.

         IPv6 addresses can be specified by enclosing the address in square brackets.  Only the superuser
         can forward privileged ports.  By default, the local port is bound in accordance with the
         GatewayPorts setting.  However, an explicit bind_address may be used to bind the connection to a
         specific address.  The bind_address of “localhost” indicates that the listening port be bound for
         local use only, while an empty address or ‘*’ indicates that the port should be available from all
         interfaces.

Starten Sie einen SOCKS-Proxy auf localhost, Port 2302:

$ ssh -v -ND 2302 user@host

So leiten Sie den HTTP-Verkehr über diesen Tunnel in Firefox weiter:

Bearbeiten -> Einstellungen -> Erweitert -> Registerkarte Netzwerk -> Einstellungen -> Manuelle Proxy-Konfiguration -> SOCKS Host: localhost und Port: 2302

Um den SOCKS-Proxy für anderen Datenverkehr zu verwenden, können Sie ein Socksifier-Programm wie das folgende verwenden tsocks:

[I] net-proxy/tsocks
     Available versions:  1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
     Installed versions:  1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
     Homepage:            http://tsocks.sourceforge.net/
     Description:         Transparent SOCKS v4 proxying library

Bearbeiten Sie auf meinem Gentoo /etc/socks/tsocks.confFolgendes:

# Otherwise we use the server
server = 127.0.0.1
server_port = 2302

Testen:

$ tsocks telnet 255.255.255.255 25

Sie sehen so etwas auf dem /var/log/secureOn-SSH-Server:

sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.

Der Teil, den ich nicht verstehe, ist, wer genau versucht, eine Verbindung zu diesen Adressen herzustellen

Um dies einzugrenzen, werfen Sie einen Blick auf die /var/log/secure( auth.login Ihrer Distribution) und prüfen Sie, wer sich zuvor angemeldet hat:

sshd[26898]: pam_unix(sshd:session): session opened for user quanta

Das Setzen der Shell eines Benutzers auf / bin / false verhindert nicht die Weiterleitung des SSH-Ports.

http://random.cconn.info/2012/05/06/binfalse-sbinnologin-and-ssh/ http://www.semicomplete.com/articles/ssh-security/

Ich vermute also, dass das OP eine Benutzeranmeldung mit einem schwachen oder trivialen Passwort hatte, das Konto durch Setzen der Shell auf / bin / false oder / bin / nologin "deaktivierte" und ausgenutzt wurde, um Spam per SSH-Portweiterleitung zu senden.

Vielleicht versucht jemand, der sich bei Ihrem Server anmeldet, einen SSH-Tunnel zu 1.1.1.1:25 einzurichten?