Frage Was kann man über einen Benutzer von einem fehlgeschlagenen SSH-Versuch erfahren?


Was kann man über einen "Benutzer" von einem fehlgeschlagenen böswilligen SSH-Versuch erfahren?

  • Benutzername eingegeben (/var/log/secure)
  • Passwort eingegeben (falls konfiguriert, d. H. Mit einem PAM-Modul)
  • Ursprungs IP-Addresse (/var/log/secure)

Gibt es irgendwelche Methoden, etwas anderes zu extrahieren? Ob es sich um versteckte Informationen in Logfiles, zufällige Tricks oder von Drittanbietern handelt


24
2018-03-05 12:16


Ursprung


Sie sollten PAM-Module nicht aktivieren, um fehlgeschlagene Kennwortversuche zu protokollieren. Dann könnten Sie die Passwörter anderer Personen trivial herausfinden, indem Sie sich ihre fehlgeschlagenen Anmeldeversuche ansehen (aufgrund von Tippfehlern oder was auch immer). - Muzer


Antworten:


Nun, ein Gegenstand, den Sie nicht erwähnt haben, sind die Fingerabdrücke der privaten Schlüssel, die sie ausprobiert haben, bevor sie ein Passwort eingeben. Mit opensshwenn du es einstellst LogLevel VERBOSE im /etc/sshd_config, Sie erhalten sie in den Protokolldateien. Sie können sie anhand der Sammlung öffentlicher Schlüssel überprüfen, die Ihre Benutzer in ihren Profilen autorisiert haben, um festzustellen, ob sie kompromittiert wurden. Wenn ein Angreifer den privaten Schlüssel eines Benutzers gefunden hat und nach dem Login-Namen sucht, kann das Eindringen verhindert werden, da er weiß, dass der Schlüssel kompromittiert ist. Zugegeben, es ist selten: Wer einen privaten Schlüssel besitzt, hat wahrscheinlich auch den Login-Namen herausgefunden ...


27
2018-03-05 14:23





Ein wenig weiter in die LogLevel DEBUGSie können auch die Client-Software / Version im Format finden

Client protocol version %d.%d; client software version %.100s

Außerdem werden Schlüsselaustausch, Verschlüsselungen, MACs und Komprimierungsmethoden während des Schlüsselaustauschs gedruckt.


17
2018-03-05 16:05





Wenn die Anmeldeversuche sehr häufig sind oder zu allen Tageszeiten stattfinden, könnte man vermuten, dass die Anmeldung von einem Bot ausgeführt wird.

Sie können möglicherweise die Gewohnheiten des Benutzers ab dem Zeitpunkt der Anmeldung oder einer anderen Aktivität auf dem Server ableiten, dh die Anmeldungen erfolgen immer N Sekunden nach einem Apache-Treffer von derselben IP-Adresse oder einer POP3-Anfrage oder einem Git ziehen.


6
2018-03-06 11:00