mensagem estranha de log sshd a cada minuto

2

minha caixa linux acabou de receber esta mensagem de erro a cada minuto em / var / log / secure

Jun 14 04:24:28 mybox sshd[19741]: Connection closed by 127.0.0.1
Jun 14 04:25:28 mybox sshd[19764]: Connection closed by 127.0.0.1
Jun 14 04:26:28 mybox sshd[19770]: Connection closed by 127.0.0.1
Jun 14 04:27:28 mybox sshd[19776]: Connection closed by 127.0.0.1
Jun 14 04:28:28 mybox sshd[19782]: Connection closed by 127.0.0.1
Jun 14 04:29:28 mybox sshd[19789]: Connection closed by 127.0.0.1

foi centos 5.2 x86_64 com OpenSSH_4.3p2, a porta sshd não está definida como padrão, eu usei porta diferente, Eu pensei que era algum programa ruim que alguma força bruta roubou de dentro (lo). Eu tinha tentado colocar sshd: 127.0.0.1 em /etc/hosts.deny e, em seguida, as mensagens alteradas agora,

Jun 14 12:45:54 mybox sshd[25736]: refused connect from ::ffff:127.0.0.1 (::ffff:127.0.0.1)
Jun 14 12:45:59 mybox sshd[25701]: Received signal 15; terminating.
Jun 14 12:46:00 mybox sshd[25761]: Server listening on :: port 5522.
Jun 14 12:46:00 mybox sshd[25761]: error: Bind to port 5522 on 0.0.0.0 failed: Address already in use.
Jun 14 12:47:01 mybox sshd[25767]: refused connect from ::ffff:127.0.0.1 (::ffff:127.0.0.1)
Jun 14 12:47:06 mybox sshd[25761]: Received signal 15; terminating.
Jun 14 12:47:07 mybox sshd[25792]: Server listening on :: port 5522.
Jun 14 12:47:07 mybox sshd[25792]: error: Bind to port 5522 on 0.0.0.0 failed: Address already in use.
Jun 14 12:54:19 mybox sshd[25881]: error: Bind to port 5522 on 0.0.0.0 failed: Address already in use.
Jun 14 12:54:19 mybox sshd[25881]: fatal: Cannot bind any address.

alguém já teve esse problema antes? como eu posso analisar essas coisas ..

    
por racbear 14.06.2009 / 08:06

4 respostas

0

A chave aqui é "endereço já em uso". Outro processo já foi ligado a essa porta. Você está tentando executar duas instâncias do serviço? Ocasionalmente, os scripts de controle perdem a cabeça (não realmente, o que acontece é que o arquivo pid é removido, mas não o processo) e tentam iniciar o serviço quando ele já está em execução. Primeiro, pare o serviço uma vez e veja se a mensagem aparece.

service sshd stop

Em seguida, verifique se já existe um sshd por aí ...

ps ax | grep "ssh" | grep -v "grep"

Se você vir um após o serviço ser interrompido, essa é a causa do problema. Mate-o e inicie o serviço novamente

service sshd start

P.S. Sim, eu sei que o meu shell script é uma droga, mas às vezes a clareza é mais rápida do que a brevidade.

    
por 14.06.2009 / 11:30
4

Você tem algum tipo de ferramenta de monitoramento do sistema (monit / collectd) que pode estar verificando se o seu servidor ssh está ativo e aceitando conexões?

    
por 14.06.2009 / 08:23
1
Jun 14 12:46:00 mybox sshd[25761]: Server listening on :: port 5522.
Jun 14 12:46:00 mybox sshd[25761]: error: Bind to port 5522 on 0.0.0.0 failed: Address already in use.

Acho que qualquer script que esteja iniciando seu sshd não conseguirá detectar o processo em execução e reiniciá-lo repetidamente.

    
por 14.06.2009 / 08:40
0

As conexões estão obviamente vindo da máquina local (127.0.0.1) - então você não precisa ir muito longe.

E as mensagens de log estão sendo geradas pelo sshd (assim o sshd está detectando as conexões tentadas) - assim você sabe que qualquer processo que esteja causando isso, ele sabe sobre a porta não padrão ou você tem uma segunda instância do sshd executando na porta padrão (use netstat para verificar).

Você pode remover temporariamente a entrada hosts.deny e usar o lsof para determinar qual processo está tentando acessar sua porta sshd não padrão (lsof -i: porta )?

Se nada aparecer, eu usaria chkrootkit ou rkhunter para garantir que seu sistema não foi comprometido.

    
por 14.06.2009 / 15:29

Tags