Что означает «sshd: error: connect_to… fail» в auth.log?

Я заметил несколько повторов следующего сообщения об ошибке /var/log/auth.logна сервере:

Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.

Я изменил фактический IP-адрес, это внешние адреса, которые часто принадлежат почтовым серверам.

Часть, которую я не понимаю, это кто именно пытается подключиться к этим адресам и что с ним делать в sshd. Sshd работает на порту 22, на этом сервере ничего не работает на порту 25.

Что именно означает эта строка, кто инициирует соединение и почему задействован sshd?

Вы можете воспроизвести это, настроив динамическую переадресацию порта SSH:

man ssh:

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.  This works by allocating a socket
         to listen to port on the local side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over the secure channel, and the
         application protocol is then used to determine where to connect to from the remote machine.  Cur‐
         rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.  Only
         root can forward privileged ports.  Dynamic port forwardings can also be specified in the configu‐
         ration file.

         IPv6 addresses can be specified by enclosing the address in square brackets.  Only the superuser
         can forward privileged ports.  By default, the local port is bound in accordance with the
         GatewayPorts setting.  However, an explicit bind_address may be used to bind the connection to a
         specific address.  The bind_address of “localhost” indicates that the listening port be bound for
         local use only, while an empty address or ‘*’ indicates that the port should be available from all
         interfaces.

Запустите SOCKS прокси на локальном хосте, порт 2302:

$ ssh -v -ND 2302 user@host

Для маршрутизации HTTP-трафика через этот туннель в Firefox:

Правка -> Настройки -> Дополнительно -> вкладка Сеть -> Настройки -> Ручная настройка прокси -> Хост SOCKS: локальный хост и порт: 2302

Чтобы использовать прокси SOCKS с другим трафиком, вы можете использовать программу socksifier, такую ​​как tsocks:

[I] net-proxy/tsocks
     Available versions:  1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
     Installed versions:  1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
     Homepage:            http://tsocks.sourceforge.net/
     Description:         Transparent SOCKS v4 proxying library

На моем Gentoo отредактируйте /etc/socks/tsocks.confкак показано ниже:

# Otherwise we use the server
server = 127.0.0.1
server_port = 2302

Тестирование:

$ tsocks telnet 255.255.255.255 25

Вы увидите что-то вроде этого /var/log/secureна сервере SSH:

sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.

Я не понимаю, кто именно пытается подключиться к этим адресам.

Чтобы сузить, взгляните на /var/log/secure( auth.logв вашем дистрибутиве) и изучите, кто входил в систему до этого:

sshd[26898]: pam_unix(sshd:session): session opened for user quanta

Установка оболочки пользователя / bin / false не препятствует переадресации порта ssh.

http://random.cconn.info/2012/05/06/binfalse-sbinnologin-and-ssh/ http://www.semicomplete.com/articles/ssh-security/

Таким образом, я предполагаю, что OP имел логин пользователя со слабым или тривиальным паролем, «отключил» учетную запись, установив для оболочки значение / bin / false или / bin / nologin, и его использовали для отправки спама путем переадресации порта ssh.

Возможно, кто-то, кто входит на ваш сервер, пытается установить ssh-туннель к 1.1.1.1:25?