Was kann man aus einem fehlgeschlagenen SSH-Versuch über einen Benutzer lernen?

24

Was kann man über einen 'Benutzer' aus einem fehlgeschlagenen, böswilligen SSH-Versuch lernen?

  • Benutzername eingegeben ( /var/log/secure)
  • Passwort eingegeben (falls konfiguriert, dh mit einem PAM-Modul)
  • Quell-IP-Adresse ( /var/log/secure)

Gibt es Methoden, um etwas anderes zu extrahieren? Ob es sich um Informationen handelt, die in Protokolldateien, zufälligen Tricks oder Tools von Drittanbietern usw. versteckt sind.

linux  ssh  logging  pam  hacking 
Exbi
quelle
Sie sollten PAM-Module nicht aktivieren, um fehlgeschlagene Kennwortversuche zu protokollieren. Dann können Sie die Passwörter anderer Benutzer trivial herausfinden, indem Sie sich die fehlgeschlagenen Anmeldeversuche ansehen (aufgrund von Tippfehlern oder was auch immer).
Muzer

Antworten:

27

Nun, ein Punkt, den Sie nicht erwähnt haben, sind die Fingerabdrücke der privaten Schlüssel, die sie versucht haben, bevor sie ein Passwort eingegeben haben. Mit openssh, wenn Sie setzen LogLevel VERBOSEin /etc/sshd_config, erhalten Sie sie in den Protokolldateien. Sie können sie mit der Sammlung öffentlicher Schlüssel vergleichen, die Ihre Benutzer in ihren Profilen autorisiert haben, um festzustellen, ob sie kompromittiert wurden. In dem Fall, dass ein Angreifer den privaten Schlüssel eines Benutzers gefunden hat und nach dem Anmeldenamen sucht, kann das Eindringen verhindert werden, wenn er weiß, dass der Schlüssel kompromittiert ist. Zugegeben, es ist selten: Wer einen privaten Schlüssel besitzt, hat wahrscheinlich auch den Login-Namen herausgefunden ...

Dario
quelle
17

Wenn Sie ein wenig weiter gehen LogLevel DEBUG, können Sie auch die Client-Software / -Version im Format herausfinden

Client protocol version %d.%d; client software version %.100s

Außerdem werden der Schlüsselaustausch, die Chiffren, MACs und die Komprimierungsmethoden gedruckt, die während des Schlüsselaustauschs verfügbar sind.

Jakuje
quelle
6

Wenn die Anmeldeversuche sehr häufig sind oder zu jeder Tageszeit stattfinden, können Sie vermuten, dass die Anmeldung von einem Bot ausgeführt wird.

Möglicherweise können Sie die Gewohnheiten des Benutzers aus der Tageszeit ableiten, zu der er sich anmeldet, oder aus anderen Aktivitäten auf dem Server, dh die Anmeldungen erfolgen immer N Sekunden nach einem Apache-Treffer von derselben IP-Adresse, einer POP3-Anforderung oder einem Git ziehen.

dotancohen
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.