Czego można się dowiedzieć o „użytkowniku” z nieudanej próby złośliwego SSH?
- Wprowadzono nazwę użytkownika (
/var/log/secure
) - Wpisane hasło (jeśli skonfigurowane, tj. Za pomocą modułu PAM)
- Źródłowy adres IP (
/var/log/secure
)
Czy są jakieś metody wyodrębnienia czegoś innego? Niezależnie od tego, czy są to informacje ukryte w plikach dziennika, losowe sztuczki lub narzędzia innych firm itp.
Odpowiedzi:
Cóż, rzecz, o której nie wspomniałeś, to odciski palców kluczy prywatnych, które wypróbowali przed wprowadzeniem hasła. Dzięki
openssh
, jeśli ustawiszLogLevel VERBOSE
w/etc/sshd_config
, można dostać je w plikach logów. Możesz porównać je ze zbiorem kluczy publicznych autoryzowanych przez użytkowników w ich profilach, aby sprawdzić, czy zostały naruszone. W przypadku, gdy osoba atakująca posiada klucz prywatny użytkownika i szuka nazwy logowania, wiedząc, że klucz został naruszony, może zapobiec włamaniu. Trzeba przyznać, że jest to rzadkie: kto jest właścicielem klucza prywatnego, prawdopodobnie również znalazł nazwę logowania ...źródło
Idąc nieco dalej
LogLevel DEBUG
, możesz również znaleźć oprogramowanie / wersję klienta w formacieWydrukuje również wymianę kluczy, szyfry, adresy MAC i metody kompresji dostępne podczas wymiany kluczy.
źródło
Jeśli próby logowania są bardzo częste lub zdarzają się o każdej porze dnia, możesz podejrzewać, że logowanie jest wykonywane przez bota.
Być może będziesz w stanie wydedukować nawyki użytkownika od pory dnia, w której loguje się lub innej aktywności na serwerze, tj. Loginy są zawsze N sekund po trafieniu Apache z tego samego adresu IP, żądania POP3 lub git Ciągnąć.
źródło