Apa yang dapat dipelajari tentang pengguna dari upaya SSH yang gagal?

Apa yang dapat dipelajari tentang 'pengguna' dari upaya SSH jahat yang gagal?

• Nama pengguna dimasukkan ( /var/log/secure)
• Kata sandi dimasukkan (jika dikonfigurasi, yaitu dengan menggunakan modul PAM)
• Sumber alamat IP ( /var/log/secure)

Apakah ada metode mengekstraksi hal lain? Entah itu informasi yang disembunyikan dalam file log, trik acak atau dari alat pihak ketiga dll.

Nah, item yang belum Anda sebutkan adalah sidik jari kunci pribadi yang mereka coba sebelum memasukkan kata sandi. Dengan openssh, jika Anda menetapkan LogLevel VERBOSEdi /etc/sshd_config, Anda mendapatkan mereka dalam file log. Anda dapat memeriksa mereka terhadap koleksi kunci publik yang telah diotorisasi pengguna Anda di profil mereka, untuk melihat apakah mereka telah dikompromikan. Dalam hal penyerang telah memegang kunci pribadi pengguna dan sedang mencari nama login, mengetahui bahwa kunci tersebut dikompromikan dapat mencegah intrusi. Memang, jarang: siapa yang memiliki kunci pribadi mungkin telah menemukan nama login juga ...

Akan sedikit lebih jauh ke dalam LogLevel DEBUG, Anda juga dapat mengetahui perangkat lunak / versi klien dalam format

Client protocol version %d.%d; client software version %.100s

Ini juga akan mencetak pertukaran kunci, sandi, MAC dan metode kompresi yang tersedia selama pertukaran kunci.

Jika upaya login sangat sering atau terjadi sepanjang hari, maka Anda dapat menduga bahwa login dilakukan oleh bot.

Anda mungkin dapat menyimpulkan kebiasaan pengguna dari saat mereka masuk atau aktivitas lain di server, yaitu login selalu N detik setelah hit Apache dari alamat IP yang sama, atau permintaan POP3, atau git Tarik.