¿Qué se puede aprender sobre un usuario de un intento fallido de SSH?

24

¿Qué se puede aprender sobre un 'usuario' de un intento fallido de SSH malicioso?

  • Nombre de usuario ingresado ( /var/log/secure)
  • Contraseña ingresada (si está configurada, es decir, utilizando un módulo PAM)
  • Dirección IP de origen ( /var/log/secure)

¿Hay algún método para extraer algo más? Ya sea información oculta en archivos de registro, trucos aleatorios o de herramientas de terceros, etc.

Exbi
fuente
No debe habilitar los módulos PAM para registrar intentos fallidos de contraseña. Luego, podría resolver trivialmente las contraseñas de otras personas al observar sus intentos fallidos de inicio de sesión (debido a errores tipográficos o lo que sea).
Muzer

Respuestas:

27

Bueno, un elemento que no ha mencionado son las huellas digitales de las claves privadas que probaron antes de ingresar una contraseña. Con openssh, si se establece LogLevel VERBOSEen /etc/sshd_config, los obtiene en los archivos de registro. Puede verificarlos con la colección de claves públicas que sus usuarios han autorizado en sus perfiles, para ver si han sido comprometidos. En el caso de que un atacante se haya apoderado de la clave privada de un usuario y esté buscando el nombre de inicio de sesión, saber que la clave está comprometida podría evitar la intrusión. Es cierto que es raro: quién posee una clave privada probablemente también haya descubierto el nombre de inicio de sesión ...

Darío
fuente
17

Yendo un poco más allá LogLevel DEBUG, también puede encontrar el software / versión del cliente en formato

Client protocol version %d.%d; client software version %.100s

También imprimirá el intercambio de claves, los cifrados, los MAC y los métodos de compresión disponibles durante el intercambio de claves.

Jakuje
fuente
6

Si los intentos de inicio de sesión son muy frecuentes o se producen a todas horas del día, puede sospechar que el inicio de sesión lo realiza un bot.

Es posible que pueda deducir los hábitos del usuario a partir de la hora del día en que inician sesión u otra actividad en el servidor, es decir, los inicios de sesión son siempre N segundos después de que Apache golpee desde la misma dirección IP, o una solicitud POP3, o un git Halar.

dotancohen
fuente