Что можно узнать о «пользователе» в результате неудачной попытки злонамеренного SSH?
/var/log/secure
)/var/log/secure
)Есть еще какие-нибудь методы извлечения чего-нибудь? Будь то информация, скрытая в файлах журнала, случайные трюки или сторонние инструменты и т. Д.
Что ж, элемент, о котором вы не упомянули, - это отпечатки закрытых ключей, которые они пробовали перед вводом пароля. С участием openssh
, если вы установите LogLevel VERBOSE
в /etc/sshd_config
, вы получите их в файлах журнала. Вы можете сравнить их с набором открытых ключей, которые ваши пользователи авторизовали в своих профилях, чтобы увидеть, были ли они скомпрометированы. В случае, если злоумышленник получил закрытый ключ пользователя и ищет имя для входа, зная, что ключ взломан, можно предотвратить вторжение. По общему признанию, это редко: владелец закрытого ключа, вероятно, узнал и логин ...
Немного углубившись в LogLevel DEBUG
, вы также можете узнать клиентское программное обеспечение / версию в формате
Client protocol version %d.%d; client software version %.100s
Он также распечатает обмен ключами, шифры, MAC-адреса и методы сжатия, доступные во время обмена ключами.
Если попытки входа в систему очень часты или происходят в любое время дня, вы можете подозревать, что вход выполняется ботом.
Возможно, вы сможете определить привычки пользователя по времени дня, в которое он входит, или по другой активности на сервере, т.е. вход всегда происходит через N секунд после попадания Apache с того же IP-адреса, запроса POP3 или git. вытащить.