/var/log/auth.log서버 에서 다음과 같은 오류 메시지가 여러 번 반복되었습니다 .
Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port
25: failed.
실제 IP 주소를 변경했는데 종종 메일 서버에 속하는 외부 주소입니다.
내가 이해하지 못하는 부분은 해당 주소에 정확히 연결하려는 사람과 sshd가 관련이 있습니다. sshd가 포트 22에서 실행 중이고 해당 서버의 포트 25에서 실행중인 것은 없습니다.
이 선은 정확히 누가 연결을 시작하고 있으며 왜 sshd가 관련되어 있는지를 의미합니까?
답변
SSH 동적 포트 전달을 설정하여이를 재현 할 수 있습니다.
man ssh:
-D [bind_address:]port
Specifies a local “dynamic” application-level port forwarding. This works by allocating a socket
to listen to port on the local side, optionally bound to the specified bind_address. Whenever a
connection is made to this port, the connection is forwarded over the secure channel, and the
application protocol is then used to determine where to connect to from the remote machine. Cur‐
rently the SOCKS4 and SOCKS5 protocols are supported, and ssh will act as a SOCKS server. Only
root can forward privileged ports. Dynamic port forwardings can also be specified in the configu‐
ration file.
IPv6 addresses can be specified by enclosing the address in square brackets. Only the superuser
can forward privileged ports. By default, the local port is bound in accordance with the
GatewayPorts setting. However, an explicit bind_address may be used to bind the connection to a
specific address. The bind_address of “localhost” indicates that the listening port be bound for
local use only, while an empty address or ‘*’ indicates that the port should be available from all
interfaces.
localhost, 포트 2302에서 SOCKS 프록시를 시작하십시오.
$ ssh -v -ND 2302 user@host
Firefox에서이 터널을 통해 HTTP 트래픽을 라우팅하려면 :
편집-> 환경 설정-> 고급-> 네트워크 탭-> 설정-> 수동 프록시 구성-> SOCKS 호스트 : localhost 및 포트 : 2302
다른 트래픽과 함께 SOCKS 프록시를 사용하려면 다음과 같은 양말 화 프로그램을 사용할 수 있습니다 tsocks.
[I] net-proxy/tsocks
Available versions: 1.8_beta5-r3 ~1.8_beta5-r4 1.8_beta5-r5 ~1.8_beta5-r6 {tordns}
Installed versions: 1.8_beta5-r5(10:08:28 AM 06/15/2010)(-tordns)
Homepage: http://tsocks.sourceforge.net/
Description: Transparent SOCKS v4 proxying library
젠투에서 /etc/socks/tsocks.conf아래와 같이 편집하십시오 :
# Otherwise we use the server
server = 127.0.0.1
server_port = 2302
테스트 :
$ tsocks telnet 255.255.255.255 25
/var/log/secureSSH 서버에 다음과 같은 내용이 표시됩니다 .
sshd[28491]: error: connect_to 255.255.255.255 port 25: failed.
내가 이해할 수없는 부분은 누가 그 주소에 정확하게 연결하려고하는지입니다.
범위를 좁히려면 /var/log/secure( auth.log배포판)을 살펴보고이 전에 로그인 한 사람을 확인하십시오.
sshd[26898]: pam_unix(sshd:session): session opened for user quanta
답변
사용자의 쉘을 / bin / false로 설정해도 ssh 포트 전달이 방지되지 않습니다.
http://random.cconn.info/2012/05/06/binfalse-sbinnologin-and-ssh/ http://www.semicomplete.com/articles/ssh-security/
따라서 OP는 사용자 암호가 약하거나 사소한 암호로 로그인하여 쉘을 / bin / false 또는 / bin / nologin으로 설정하여 계정을 “비활성화”했으며 ssh 포트 전달을 통해 스팸을 보내는 데 악용되었습니다.
답변
서버에 로그인 한 사람이 ssh 터널을 1.1.1.1:25로 설정하려고합니까?
