¿Qué significa "sshd: error: connect_to ... failure" en auth.log?

He notado varias repeticiones del siguiente mensaje de error en /var/log/auth.logun servidor:

Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.

He cambiado la dirección IP real, son direcciones externas que a menudo pertenecen a servidores de correo.

La parte que no entiendo es quién está tratando exactamente de conectarse a esas direcciones y qué tiene que ver sshd con ellas. El sshd se está ejecutando en el puerto 22, no hay nada ejecutándose en el puerto 25 en ese servidor.

¿Qué significa exactamente esta línea, quién está iniciando la conexión y por qué está involucrado sshd?

Puede reproducir esto configurando el reenvío de puerto dinámico SSH:

man ssh:

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.  This works by allocating a socket
         to listen to port on the local side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over the secure channel, and the
         application protocol is then used to determine where to connect to from the remote machine.  Cur‐
         rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.  Only
         root can forward privileged ports.  Dynamic port forwardings can also be specified in the configu‐
         ration file.

         IPv6 addresses can be specified by enclosing the address in square brackets.  Only the superuser
         can forward privileged ports.  By default, the local port is bound in accordance with the
         GatewayPorts setting.  However, an explicit bind_address may be used to bind the connection to a
         specific address.  The bind_address of “localhost” indicates that the listening port be bound for
         local use only, while an empty address or ‘*’ indicates that the port should be available from all
         interfaces.

Inicie un proxy SOCKS en localhost, puerto 2302:

$ ssh -v -ND 2302 user@host

Para enrutar el tráfico HTTP a través de este túnel, en Firefox:

Editar -> Preferencias -> Avanzado -> pestaña Red -> Configuración -> Configuración manual del proxy -> Host SOCKS: localhost y Puerto: 2302

Para utilizar el proxy SOCKS con otro tráfico, puede usar un programa de socksifier como tsocks:

[I] net-proxy/tsocks
     Available versions:  1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
     Installed versions:  1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
     Homepage:            http://tsocks.sourceforge.net/
     Description:         Transparent SOCKS v4 proxying library

En mi Gentoo, edite lo /etc/socks/tsocks.confsiguiente:

# Otherwise we use the server
server = 127.0.0.1
server_port = 2302

Pruebas:

$ tsocks telnet 255.255.255.255 25

Verá algo como esto en el /var/log/secureservidor SSH:

sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.

La parte que no entiendo es exactamente quién está tratando de conectarse a esas direcciones

Para restringir, eche un vistazo a /var/log/secure( auth.logen su distribución) y examine quién ha iniciado sesión antes de esto:

sshd[26898]: pam_unix(sshd:session): session opened for user quanta

Establecer el shell de un usuario en / bin / false no impide el reenvío de puertos ssh.

http://random.cconn.info/2012/05/06/binfalse-sbinnologin-and-ssh/ http://www.semicomplete.com/articles/ssh-security/

Entonces, supongo que el OP tenía un inicio de sesión de usuario con una contraseña débil o trivial, "deshabilitó" la cuenta configurando shell en / bin / false o / bin / nologin, y fue explotada para enviar spam mediante el reenvío de puertos ssh.

¿Quizás alguien que inicia sesión en su servidor está tratando de establecer un túnel ssh para 1.1.1.1:25?