信息安全 - 许多失败的传出 sshd 尝试。我被黑了吗？ - 吾爱随笔录

许多失败的传出 sshd 尝试。我被黑了吗？

信息安全 SSH ddos x11

2021-09-02 23:25:35

在过去的两天里，我在 /var/log/auth.log 中看到很多行，如下所示：

sshd[xxxxx]: error: connect_to 0.gravatar.com port 80: failed
sshd[xxxxx]: error: connect_to 1.gravatar.com port 80: failed
sshd[xxxxx]: error: connect_to 2.gravatar.com port 80: failed

我认为我的服务器上没有任何东西使用 gravatar，即使它使用了，我也不明白为什么应该涉及 sshd。此外，这些报告是“随机”出现的，每天每个 gravatar 地址都有大约 100 次失败的尝试。

我自己试过做一些诊断，但我不是专家。我尝试寻找使用 gravatar 的脚本（在我的 web 目录中使用 grep）并且没有找到任何东西（这非常可疑）。

在挖掘时，我发现了两个我关心的目录：

/tmp/.X11-unix
/tmp/.ICE-unix

我以为我在我的服务器上禁用了 X11，因为我不使用它，而且我与 IRC 或任何我能想象到的 .ICE-unix 中的东西无关。两个目录中都没有，但它们的存在对我来说是可疑的（可能是由于我自己的无知）。

我找不到任何其他证据表明我被黑了，而且我认为我的船很紧，但我显然对此感到担忧。我运行一个 Debian 服务器，并确保每个包每周都会更新。我是这个网站的新手并且正在调查一个黑客，所以我感谢你的耐心，如果有什么我可以做的可以帮助你帮助我，请告诉我（我会让你知道我已经阅读了大量的文章并在问这里之前尽可能地自己努力，因为我珍惜你所有的时间）。

1个回答

我的猜测是您（或您服务器上的其他人）正在执行 SSH 代理隧道并使用 gravitar 连接到 stackexchange 或其他站点，并且由于某种原因，这些与 gravatar 的连接超时。我不认为我的家庭服务器被黑了，我在我的 auth.log 中看到了类似的消息，但只是在我使用 SSH 代理的时候。my_home_computer当我使用来自另一台计算机的代理时，这些消息会出现，该代理是由设置的ssh -fND localhost:12346 my_home_computer- 授予我的条目正在记录 IP 地址，例如：

Mar  6 14:33:57 my_home_computer sshd[17500]: error: connect_to 173.192.82.196 port 80: failed.

我的猜测是这些消息对应于使用代理的一侧的行，即：

channel 6: open failed: connect failed: Connection timed out
channel 4: open failed: connect failed: No route to host
channel 2: open failed: connect failed: Connection timed out

编辑：进一步的测试，证实了这种怀疑。使用详细标志集 ( ) 启动 ssh 隧道-v：

ssh -vfND localhost:12346 my_home_computer

并尝试连接到10.11.12.13最终超时的错误 IP 地址（

channel 2: open failed: connect failed: Connection timed out
debug1: channel 2: free: direct-tcpip: listening port 12346 for 10.11.12.13 port 80, connect from 127.0.0.1 port 34199, nchannels 10

同时，查看 auth.log 的输出，sudo tail -f /var/log/auth.log会弹出如下日志：

Apr  7 17:38:03 my_home_computer sshd[23789]: error: connect_to 10.11.12.13 port 80: failed.

TL;DR : 只是无害的网页浏览和 ssh 警告您在浏览某些 HTTP 请求时超时或在一天中的各个时间点都没有托管路由。

其它你可能感兴趣的问题

上一篇是否有生成数字签名 URL 链接的算法？下一篇为什么 Firefox 删除地址栏上的 Javascript 注入？