Logs sshd port 80: failed

Support Debian
#1

Bonjour, ces lignes réapparaissent en boucles dans mes logs, vous aller sûrement me dire
que je m 'inquiète pour rien :laughing: :

Aug 12 02:50:21 SERVER sshd[3570]: error: connect_to 109.230.246.47 port 80: failed. Aug 12 02:50:21 SERVER sshd[3570]: error: connect_to 109.230.246.47 port 80: failed. Aug 12 02:50:21 SERVER sshd[3570]: error: connect_to 109.230.246.47 port 80: failed. Aug 12 02:50:21 SERVER sshd[3570]: error: connect_to 109.230.246.47 port 80: failed. Aug 12 02:51:25 SERVER sshd[3570]: error: connect_to 109.230.246.47 port 80: failed. Aug 12 02:51:25 SERVER sshd[3570]: error: connect_to 109.230.246.47 port 80: failed.

Mes 2 questions:
Puis je épuré mes logs et dois je agir?
Puis je crée une règle Fail2ban sur ce port sans logs Apache?

Les services installés:
-openssh-server (Pas sur le 80)
-Pas de Apache sur la machine (sur des servers virtuels uniquement)

-exim4 et les alertes mails de Blacklistage sont ok
-Fail2ban est installé et configuré
-Denyhost est installé et configuré

(d’ailleurs ils ne me préviennent pas)

Merci

#2

Salut,
Tu peux préciser un peu plus.

Ce sont quels logs ?
L’IP allemande, c’est la tienne ou c’est quelqu’un d’autre ?
S’il n’y a pas de serveur Web sur le port 80, il y a quoi ?

#3

Il te signale juste que quelqu’u essaye de se connecter sur ton port 80, sans doute en croyant un serveur Web. Où est le souci?

#4

Ça ressemble plutôt à une redirection de port local (option -L de ssh ou directive LocalForward de ~/.ssh/config ou /etc/ssh/ssh_config). A la demande d’un client SSH (authentifié), le serveur SSH tente d’établir une connexion vers l’adresse et le port spécifiés, mais celle-ci échoue.

#5

Désolé pour la réponse tardive mais je bosse de nuit! :open_mouth:

Je lis ces logs avec logwatch et logcheck, ces lignes proviennent sûrement de /var/log/auth.log

l’ip ,ici allemande, plutôt les ip me son inconnu, Whois m’emmène au 4 coin du monde. :slightly_smiling:

Je n’ héberge pas de site sur le server physique et le port 80 n’est pas ouvert/fowarder.
-ssh est sur 443 (pour usage tunelssh)

Aucun soucis alors, me dites vous?

Ces tentatives sont toujours sur P-80, mais avec des ip différentes qui remplissent les logs.
(requêtes parfois tous les 10sec)


Sans service à protéger ici sur P-80, je ne peux donc pas créer de règles fail2ban et je laisse courir?

Merci à vous passionnés lève tôt

#6

N’utiliserais-tu pas le serveur SSH comme proxy SOCKS pour des connexions HTTP (navigateur web) ?

#7

OUI, tout à fait! Je suis confus de ne pas y a avoir pensé!
Les heures des requêtes correspondraient et expliqueraient donc les ajouts de lignes de logs! :slightly_smiling:

Merci, PascalHambourg…lol,fran.b

A la différence d’une machine client (non proxy) ces logs apparaissent lors de la navigation donc? :wink:

#8

Je ne comprends pas la question.
De toute évidence ces messages sont produits par sshd quand tu demandes au proxy de se connecter à un serveur web distant et que la connexion échoue (port fermé, hôte injoignable…).