Was kann man über einen 'Benutzer' aus einem fehlgeschlagenen, böswilligen SSH-Versuch lernen?
- Benutzername eingegeben (
/var/log/secure
) - Passwort eingegeben (falls konfiguriert, dh mit einem PAM-Modul)
- Quell-IP-Adresse (
/var/log/secure
)
Gibt es Methoden, um etwas anderes zu extrahieren? Ob es sich um Informationen handelt, die in Protokolldateien, zufälligen Tricks oder Tools von Drittanbietern usw. versteckt sind.
Antworten:
Nun, ein Punkt, den Sie nicht erwähnt haben, sind die Fingerabdrücke der privaten Schlüssel, die sie versucht haben, bevor sie ein Passwort eingegeben haben. Mit
openssh
, wenn Sie setzenLogLevel VERBOSE
in/etc/sshd_config
, erhalten Sie sie in den Protokolldateien. Sie können sie mit der Sammlung öffentlicher Schlüssel vergleichen, die Ihre Benutzer in ihren Profilen autorisiert haben, um festzustellen, ob sie kompromittiert wurden. In dem Fall, dass ein Angreifer den privaten Schlüssel eines Benutzers gefunden hat und nach dem Anmeldenamen sucht, kann das Eindringen verhindert werden, wenn er weiß, dass der Schlüssel kompromittiert ist. Zugegeben, es ist selten: Wer einen privaten Schlüssel besitzt, hat wahrscheinlich auch den Login-Namen herausgefunden ...quelle
Wenn Sie ein wenig weiter gehen
LogLevel DEBUG
, können Sie auch die Client-Software / -Version im Format herausfindenAußerdem werden der Schlüsselaustausch, die Chiffren, MACs und die Komprimierungsmethoden gedruckt, die während des Schlüsselaustauschs verfügbar sind.
quelle
Wenn die Anmeldeversuche sehr häufig sind oder zu jeder Tageszeit stattfinden, können Sie vermuten, dass die Anmeldung von einem Bot ausgeführt wird.
Möglicherweise können Sie die Gewohnheiten des Benutzers aus der Tageszeit ableiten, zu der er sich anmeldet, oder aus anderen Aktivitäten auf dem Server, dh die Anmeldungen erfolgen immer N Sekunden nach einem Apache-Treffer von derselben IP-Adresse, einer POP3-Anforderung oder einem Git ziehen.
quelle