Apa yang dapat dipelajari tentang 'pengguna' dari upaya SSH jahat yang gagal?
- Nama pengguna dimasukkan (
/var/log/secure
) - Kata sandi dimasukkan (jika dikonfigurasi, yaitu dengan menggunakan modul PAM)
- Sumber alamat IP (
/var/log/secure
)
Apakah ada metode mengekstraksi hal lain? Entah itu informasi yang disembunyikan dalam file log, trik acak atau dari alat pihak ketiga dll.
Jawaban:
Nah, item yang belum Anda sebutkan adalah sidik jari kunci pribadi yang mereka coba sebelum memasukkan kata sandi. Dengan
openssh
, jika Anda menetapkanLogLevel VERBOSE
di/etc/sshd_config
, Anda mendapatkan mereka dalam file log. Anda dapat memeriksa mereka terhadap koleksi kunci publik yang telah diotorisasi pengguna Anda di profil mereka, untuk melihat apakah mereka telah dikompromikan. Dalam hal penyerang telah memegang kunci pribadi pengguna dan sedang mencari nama login, mengetahui bahwa kunci tersebut dikompromikan dapat mencegah intrusi. Memang, jarang: siapa yang memiliki kunci pribadi mungkin telah menemukan nama login juga ...sumber
Akan sedikit lebih jauh ke dalam
LogLevel DEBUG
, Anda juga dapat mengetahui perangkat lunak / versi klien dalam formatIni juga akan mencetak pertukaran kunci, sandi, MAC dan metode kompresi yang tersedia selama pertukaran kunci.
sumber
Jika upaya login sangat sering atau terjadi sepanjang hari, maka Anda dapat menduga bahwa login dilakukan oleh bot.
Anda mungkin dapat menyimpulkan kebiasaan pengguna dari saat mereka masuk atau aktivitas lain di server, yaitu login selalu N detik setelah hit Apache dari alamat IP yang sama, atau permintaan POP3, atau git Tarik.
sumber