auth.logの「sshd:error:connect_to…failed」とはどういう意味ですか?


9

/var/log/auth.logサーバーで次のエラーメッセージが繰り返し表示されることに気づきました。

Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.

実際のIPアドレスを変更しました。これらは、メールサーバーに属することが多い外部アドレスです。

私が理解していない部分は、正確に誰がそれらのアドレスに接続しようとしているのか、そしてsshdがそれと何をしているのかです。sshdはポート22で実行されており、そのサーバーのポート25では何も実行されていません。

この行は正確に何を意味し、誰が接続を開始しており、なぜsshdが関係しているのですか?

回答:


7

これを再現するには、SSH動的ポート転送を設定します。

man ssh

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.  This works by allocating a socket
         to listen to port on the local side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over the secure channel, and the
         application protocol is then used to determine where to connect to from the remote machine.  Cur‐
         rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.  Only
         root can forward privileged ports.  Dynamic port forwardings can also be specified in the configu‐
         ration file.

         IPv6 addresses can be specified by enclosing the address in square brackets.  Only the superuser
         can forward privileged ports.  By default, the local port is bound in accordance with the
         GatewayPorts setting.  However, an explicit bind_address may be used to bind the connection to a
         specific address.  The bind_address of “localhost” indicates that the listening port be bound for
         local use only, while an empty address or ‘*’ indicates that the port should be available from all
         interfaces.

ローカルホストのポート2302でSOCKSプロキシを開始します。

$ ssh -v -ND 2302 user@host

Firefoxでこのトンネルを介してHTTPトラフィックをルーティングするには:

編集->設定->詳細->ネットワークタブ->設定->手動プロキシ設定-> SOCKSホスト:ローカルホストとポート:2302

他のトラフィックでSOCKSプロキシを使用するには、次のようなsocksifierプログラムを使用できますtsocks

[I] net-proxy/tsocks
     Available versions:  1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
     Installed versions:  1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
     Homepage:            http://tsocks.sourceforge.net/
     Description:         Transparent SOCKS v4 proxying library

私のGentooで、以下を編集/etc/socks/tsocks.confします:

# Otherwise we use the server
server = 127.0.0.1
server_port = 2302

テスト:

$ tsocks telnet 255.255.255.255 25

/var/log/secureSSHサーバー上に次のようなものが表示されます。

sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.

私が理解できない部分は、正確に誰がそれらのアドレスに接続しようとしているのかです

絞り込むには、/var/log/secureauth.logディストリビューションで)を見て、これより前に誰がログインしたかを調べます。

sshd[26898]: pam_unix(sshd:session): session opened for user quanta

2

ユーザーのシェルを/ bin / falseに設定しても、sshポート転送は妨げられません。

http://random.cconn.info/2012/05/06/binfalse-sbinnologin-and-ssh/ http://www.semicomplete.com/articles/ssh-security/

したがって、私の推測では、OPは弱いまたは簡単なパスワードでユーザーログインを行い、シェルを/ bin / falseまたは/ bin / nologinに設定してアカウントを「無効」にし、sshポート転送によってスパムを送信するために悪用されたと推測します。


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.