Что можно узнать о «пользователе» в результате неудачной попытки злонамеренного SSH?
/ var / log / secure
) / var / log / secure
) Существуют ли какие-либо другие методы извлечения чего-либо? это информация, скрытая в файлах журнала, случайных уловках или сторонних инструментах и т. д.
Ну, пункт, о котором вы не упомянули, это отпечатки пальцев закрытых ключей, которые они пытались использовать перед вводом пароля. С помощью openssh
, если вы установите LogLevel VERBOSE
в /etc/sshd_config
, вы получите их в лог-файлы. Вы можете сверить их с коллекцией открытых ключей, которые ваши пользователи авторизовали в своих профилях, чтобы проверить, не были ли они скомпрометированы. В случае, если злоумышленник завладел личным ключом пользователя и ищет имя пользователя, знание того, что ключ скомпрометирован, может предотвратить вторжение. Правда, это редкость: кто владеет личным ключом, скорее всего, тоже узнал имя пользователя...
Немного углубившись в DEBUG уровня журнала
, вы также можете узнать клиентское программное обеспечение/версию в формате
Client protocol version %d.%d; client software version %.100s
Оно также распечатает обмен ключами, шифры, MACs и методы сжатия, доступные во время обмена ключами.
.Если попытки входа очень часты или происходят в любое время суток, то вы можете заподозрить, что вход в систему выполняется ботом.
Вы можете вывести привычки пользователя из времени суток, когда он входит в систему, или из другой активности на сервере, т.е. вход всегда происходит через N секунд после удара Apache с того же самого IP-адреса, или POP3-запроса, или git-тяжки.
.