O que significa “sshd: error: connect_to… failed” no auth.log?

Eu notei várias repetições da seguinte mensagem de erro em /var/log/auth.logum servidor:

Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.

Alterei o endereço IP real, são endereços externos que geralmente pertencem aos servidores de correio.

A parte que eu não entendo é quem exatamente está tentando se conectar a esses endereços e o que o sshd tem a ver com isso. O sshd está em execução na porta 22, não há nada em execução na porta 25 nesse servidor.

O que exatamente essa linha significa, quem está iniciando a conexão e por que o sshd está envolvido?

Você pode reproduzir isso configurando o encaminhamento de porta dinâmica SSH:

man ssh:

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.  This works by allocating a socket
         to listen to port on the local side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over the secure channel, and the
         application protocol is then used to determine where to connect to from the remote machine.  Cur‐
         rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server.  Only
         root can forward privileged ports.  Dynamic port forwardings can also be specified in the configu‐
         ration file.

         IPv6 addresses can be specified by enclosing the address in square brackets.  Only the superuser
         can forward privileged ports.  By default, the local port is bound in accordance with the
         GatewayPorts setting.  However, an explicit bind_address may be used to bind the connection to a
         specific address.  The bind_address of “localhost” indicates that the listening port be bound for
         local use only, while an empty address or ‘*’ indicates that the port should be available from all
         interfaces.

Inicie um proxy SOCKS no host local, porta 2302:

$ ssh -v -ND 2302 user@host

Para rotear o tráfego HTTP por esse túnel, no Firefox:

Editar -> Preferências -> Avançado -> guia Rede -> Configurações -> Configuração manual de proxy -> Host SOCKS: localhost e Porta: 2302

Para fazer uso do proxy SOCKS com outro tráfego, você pode usar um programa socksifier como tsocks:

[I] net-proxy/tsocks
     Available versions:  1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
     Installed versions:  1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
     Homepage:            http://tsocks.sourceforge.net/
     Description:         Transparent SOCKS v4 proxying library

No meu Gentoo, edite o seguinte /etc/socks/tsocks.conf:

# Otherwise we use the server
server = 127.0.0.1
server_port = 2302

Teste:

$ tsocks telnet 255.255.255.255 25

Você verá algo assim no /var/log/secureservidor SSH:

sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.

A parte que eu não entendo é quem exatamente está tentando se conectar a esses endereços

Para diminuir, dê uma olhada no /var/log/secure( auth.logna sua distribuição) e examine quem fez o login antes disso:

sshd[26898]: pam_unix(sshd:session): session opened for user quanta

Definir o shell de um usuário como / bin / false não impede o encaminhamento de porta ssh.

http://random.cconn.info/2012/05/06/binfalse-sbinnologin-and-ssh/ http://www.semicomplete.com/articles/ssh-security/

Portanto, meu palpite é que o OP tinha um login de usuário com senha fraca ou trivial, "desabilitou" a conta configurando o shell para / bin / false ou / bin / nologin, e foi explorado para enviar spam pelo encaminhamento de porta ssh.

Talvez alguém que faça login no seu servidor esteja tentando estabelecer um túnel ssh para 1.1.1.1:25?