Cosa si può imparare su un utente da un tentativo SSH fallito?


24

Cosa può essere appreso su un "utente" da un tentativo SSH dannoso non riuscito?

  • Nome utente inserito ( /var/log/secure)
  • Password inserita (se configurata, ovvero utilizzando un modulo PAM)
  • Indirizzo IP di origine ( /var/log/secure)

Esistono metodi per estrarre qualcos'altro? Che si tratti di informazioni nascoste in file di registro, trucchi casuali o da strumenti di terze parti ecc.


Non è necessario abilitare i moduli PAM per registrare i tentativi di password non riusciti. Quindi potresti elaborare banalmente le password di altre persone osservando i loro tentativi di accesso non riusciti (a causa di errori di battitura o altro).
Muzer

Risposte:


27

Bene, un elemento che non hai menzionato sono le impronte digitali delle chiavi private che hanno provato prima di inserire una password. Con openssh, se si imposta LogLevel VERBOSEin /etc/sshd_config, che li ottenete nei file di registro. Puoi confrontarli con la raccolta di chiavi pubbliche che i tuoi utenti hanno autorizzato nei loro profili, per vedere se sono stati compromessi. Nel caso in cui un utente malintenzionato abbia acquisito la chiave privata di un utente e stia cercando il nome di accesso, sapere che la chiave è compromessa potrebbe impedire l'intrusione. Certo, è raro: chi possiede una chiave privata ha probabilmente scoperto anche il nome di accesso ...


17

Andando un po 'più in là LogLevel DEBUG, puoi anche scoprire il software client / versione in formato

Client protocol version %d.%d; client software version %.100s

Stamperà anche lo scambio di chiavi, le cifre, i MAC e i metodi di compressione disponibili durante lo scambio di chiavi.


6

Se i tentativi di accesso sono molto frequenti o si verificano a tutte le ore del giorno, si potrebbe sospettare che l'accesso venga eseguito da un bot.

Potresti essere in grado di dedurre le abitudini dell'utente dall'ora del giorno in cui accedono o da altre attività sul server, vale a dire che gli accessi sono sempre N secondi dopo un hit Apache dallo stesso indirizzo IP, o una richiesta POP3 o un git Tirare.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.