从失败的恶意 SSH 尝试中可以了解到关于“用户”的哪些信息?
- 输入的用户名 (
/var/log/secure) - 输入密码(如果已配置,即使用 PAM 模块)
- 源 IP 地址 (
/var/log/secure)
有没有其他提取方法?无论是隐藏在日志文件中的信息、随机技巧还是来自 3rd 方工具等。
AskOverflow.Dev
嗯,你没有提到的一个项目是他们在输入密码之前尝试过的私钥的指纹。使用
openssh,如果您设置LogLevel VERBOSE,/etc/sshd_config您可以在日志文件中获取它们。您可以根据您的用户在其个人资料中授权的公钥集合来检查它们,以查看它们是否已被泄露。如果攻击者掌握了用户的私钥并正在寻找登录名,则知道密钥已泄露可以防止入侵。诚然,这种情况很少见:拥有私钥的人可能也发现了登录名......再深入一点
LogLevel DEBUG,您还可以在格式中找到客户端软件/版本它还将打印密钥交换期间可用的密钥交换、密码、MAC 和压缩方法。
如果登录尝试非常频繁或在一天中的所有时间都发生,那么您可能会怀疑登录是由机器人执行的。
您可能能够从用户登录或服务器上的其他活动的时间推断出用户的习惯,即登录总是在来自同一 IP 地址的 Apache 命中、POP3 请求或 git 之后 N 秒拉。