สามารถเรียนรู้อะไรเกี่ยวกับผู้ใช้จากความพยายาม SSH ที่ล้มเหลว


24

สามารถเรียนรู้อะไรเกี่ยวกับ 'ผู้ใช้' จากความพยายาม SSH ที่เป็นอันตรายที่ล้มเหลว

  • ชื่อผู้ใช้ที่ป้อน ( /var/log/secure)
  • ป้อนรหัสผ่าน (หากกำหนดค่าเช่นใช้โมดูล PAM)
  • ที่อยู่ IP ต้นทาง ( /var/log/secure)

มีวิธีใดบ้างในการแยกสิ่งอื่นออก ไม่ว่าจะเป็นข้อมูลที่ซ่อนอยู่ในล็อกไฟล์เทคนิคสุ่มหรือจากเครื่องมือของบุคคลที่สามเป็นต้น


คุณไม่ควรเปิดใช้งานโมดูล PAM เพื่อบันทึกรหัสผ่านที่ล้มเหลว จากนั้นคุณสามารถจดรหัสผ่านของผู้อื่นได้โดยดูจากความพยายามในการลงชื่อเข้าใช้ที่ล้มเหลว (เนื่องจากการพิมพ์ผิดหรืออะไรก็ตาม)
Muzer

คำตอบ:


27

สิ่งที่คุณไม่ได้กล่าวถึงคือลายนิ้วมือของกุญแจส่วนตัวที่พวกเขาลองก่อนป้อนรหัสผ่าน ด้วยopensshถ้าคุณตั้งค่าLogLevel VERBOSEใน/etc/sshd_configคุณจะได้รับพวกเขาในล็อกไฟล์ คุณสามารถตรวจสอบพวกเขากับการเก็บรวบรวมกุญแจสาธารณะที่ผู้ใช้ของคุณได้รับอนุญาตในโปรไฟล์ของพวกเขาเพื่อดูว่าพวกเขาถูกบุกรุก ในกรณีที่ผู้โจมตีถือกุญแจส่วนตัวของผู้ใช้และกำลังมองหาชื่อเข้าสู่ระบบการรู้ว่ากุญแจถูกโจมตีสามารถป้องกันการบุกรุกได้ เป็นที่ยอมรับได้ยาก: ใครเป็นเจ้าของคีย์ส่วนตัวอาจพบชื่อล็อกอินด้วย ...


17

ไปนิด ๆ หน่อย ๆ ต่อไปในLogLevel DEBUGคุณยังสามารถหาซอฟต์แวร์ไคลเอ็นต์ / รุ่นในรูปแบบ

Client protocol version %d.%d; client software version %.100s

นอกจากนี้ยังจะพิมพ์การแลกเปลี่ยนกุญแจรหัสยันแมคและวิธีการบีบอัดที่มีในระหว่างการแลกเปลี่ยนคีย์


6

หากพยายามเข้าสู่ระบบบ่อยมากหรือเกิดขึ้นทุกชั่วโมงของวันคุณอาจสงสัยว่าการเข้าสู่ระบบจะดำเนินการโดยบอท

คุณอาจสามารถอนุมานนิสัยของผู้ใช้ตั้งแต่วันที่พวกเขาเข้าสู่ระบบหรือกิจกรรมอื่น ๆ บนเซิร์ฟเวอร์นั่นคือการเข้าสู่ระบบอยู่เสมอ N วินาทีหลังจาก Apache เข้าชมจากที่อยู่ IP เดียวกันหรือคำขอ POP3 หรือ git ดึง.

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.