O que significa “sshd: error: connect_to… failed” em auth.log mean?

Navegue suas respostas
9

Eu observei várias repetições da seguinte mensagem de erro em /var/log/auth.log em um servidor: 

Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.

Eu alterei o endereço IP real, eles são endereços externos que geralmente pertencem a servidores de e-mail.

A parte que não entendo é quem exatamente está tentando se conectar a esses endereços e o que o sshd tem a ver com isso. O sshd está sendo executado na porta 22, não há nada em execução na porta 25 nesse servidor.

O que exatamente significa esta linha, quem está iniciando a conexão e por que o sshd está envolvido?

    
por user9361 10.08.2012 / 12:28

3 respostas

7

Você pode reproduzir isso configurando o encaminhamento dinâmico de porta SSH:

man ssh : 

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.  This works by allocating a socket
         to listen to port on the local side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over the secure channel, and the
         application protocol is then used to determine where to connect to from the remote machine.  Cur‐
         rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.  Only
         root can forward privileged ports.  Dynamic port forwardings can also be specified in the configu‐
         ration file.

         IPv6 addresses can be specified by enclosing the address in square brackets.  Only the superuser
         can forward privileged ports.  By default, the local port is bound in accordance with the
         GatewayPorts setting.  However, an explicit bind_address may be used to bind the connection to a
         specific address.  The bind_address of “localhost” indicates that the listening port be bound for
         local use only, while an empty address or ‘*’ indicates that the port should be available from all
         interfaces.

Inicie um proxy SOCKS no host local, porta 2302: 

$ ssh -v -ND 2302 user@host

Para encaminhar o tráfego HTTP através deste túnel, no Firefox:

Edit -> Preferences -> Advanced -> Network tab -> Settings -> Manual Proxy Configuration -> SOCKS Host: localhost and Port: 2302

Para utilizar o proxy SOCKS com outro tráfego, você pode usar um programa socksifier como tsocks : 

[I] net-proxy/tsocks
     Available versions:  1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
     Installed versions:  1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
     Homepage:            http://tsocks.sourceforge.net/
     Description:         Transparent SOCKS v4 proxying library

No meu Gentoo, edite o /etc/socks/tsocks.conf como abaixo: 

# Otherwise we use the server
server = 127.0.0.1
server_port = 2302

Teste: 

$ tsocks telnet 255.255.255.255 25

Você verá algo assim no servidor% SS_de% SSH: 

sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.

The part I don't understand is who exactly is trying to connect to those addresses

Para diminuir, dê uma olhada no /var/log/secure ( /var/log/secure da sua distro) e examine quem está logado antes disso: 

sshd[26898]: pam_unix(sshd:session): session opened for user quanta
    
por 11.08.2012 / 05:17
2

Configurar o shell de um usuário para / bin / false não impede o encaminhamento de porta ssh.

link link

Então, meu palpite é que o OP tinha um login de usuário com senha fraca ou trivial, "desativava" a conta definindo shell como / bin / false ou / bin / nologin e era explorado para enviar spam pelo encaminhamento de porta ssh .

    
por 11.07.2013 / 17:37
0

Talvez alguém que se conecte ao seu servidor esteja tentando estabelecer um túnel ssh para 1.1.1.1:25?

    
por 10.08.2012 / 12:39

Tags

“/etc/apache2/httpd.conf: Nenhum arquivo ou diretório” erro após a atualização do Ubuntu Como limitar as portas de tuning reversas do SSH?