Назад | Перейти на главную страницу

Что можно узнать о пользователе после неудачной попытки SSH?

Что можно узнать о «пользователе» в результате неудачной попытки злонамеренного SSH?

Есть еще какие-нибудь методы извлечения чего-нибудь? Будь то информация, скрытая в файлах журнала, случайные трюки или сторонние инструменты и т. Д.

Что ж, элемент, о котором вы не упомянули, - это отпечатки закрытых ключей, которые они пробовали перед вводом пароля. С участием openssh, если вы установите LogLevel VERBOSE в /etc/sshd_config, вы получите их в файлах журнала. Вы можете сравнить их с набором открытых ключей, которые ваши пользователи авторизовали в своих профилях, чтобы увидеть, были ли они скомпрометированы. В случае, если злоумышленник получил закрытый ключ пользователя и ищет имя для входа, зная, что ключ взломан, можно предотвратить вторжение. По общему признанию, это редко: владелец закрытого ключа, вероятно, узнал и логин ...

Немного углубившись в LogLevel DEBUG, вы также можете узнать клиентское программное обеспечение / версию в формате

Client protocol version %d.%d; client software version %.100s

Он также распечатает обмен ключами, шифры, MAC-адреса и методы сжатия, доступные во время обмена ключами.

Если попытки входа в систему очень часты или происходят в любое время дня, вы можете подозревать, что вход выполняется ботом.

Возможно, вы сможете определить привычки пользователя по времени дня, в которое он входит, или по другой активности на сервере, т.е. вход всегда происходит через N секунд после попадания Apache с того же IP-адреса, запроса POP3 или git. вытащить.