Czego można się dowiedzieć o użytkowniku z nieudanej próby SSH?

Czego można się dowiedzieć o „użytkowniku” z nieudanej próby złośliwego SSH?

• Wprowadzono nazwę użytkownika ( /var/log/secure)
• Wpisane hasło (jeśli skonfigurowane, tj. Za pomocą modułu PAM)
• Źródłowy adres IP ( /var/log/secure)

Czy są jakieś metody wyodrębnienia czegoś innego? Niezależnie od tego, czy są to informacje ukryte w plikach dziennika, losowe sztuczki lub narzędzia innych firm itp.

Cóż, rzecz, o której nie wspomniałeś, to odciski palców kluczy prywatnych, które wypróbowali przed wprowadzeniem hasła. Dzięki openssh, jeśli ustawisz LogLevel VERBOSEw /etc/sshd_config, można dostać je w plikach logów. Możesz porównać je ze zbiorem kluczy publicznych autoryzowanych przez użytkowników w ich profilach, aby sprawdzić, czy zostały naruszone. W przypadku, gdy osoba atakująca posiada klucz prywatny użytkownika i szuka nazwy logowania, wiedząc, że klucz został naruszony, może zapobiec włamaniu. Trzeba przyznać, że jest to rzadkie: kto jest właścicielem klucza prywatnego, prawdopodobnie również znalazł nazwę logowania ...

Idąc nieco dalej LogLevel DEBUG, możesz również znaleźć oprogramowanie / wersję klienta w formacie

Client protocol version %d.%d; client software version %.100s

Wydrukuje również wymianę kluczy, szyfry, adresy MAC i metody kompresji dostępne podczas wymiany kluczy.

Jeśli próby logowania są bardzo częste lub zdarzają się o każdej porze dnia, możesz podejrzewać, że logowanie jest wykonywane przez bota.

Być może będziesz w stanie wydedukować nawyki użytkownika od pory dnia, w której loguje się lub innej aktywności na serwerze, tj. Loginy są zawsze N ​​sekund po trafieniu Apache z tego samego adresu IP, żądania POP3 lub git Ciągnąć.