Có thể học được gì về người dùng từ một lần thử SSH thất bại?

Có thể học được gì về một 'người dùng' từ một nỗ lực SSH độc hại không thành công?

• Tên người dùng đã nhập ( /var/log/secure)
• Mật khẩu đã nhập (nếu được định cấu hình, tức là bằng cách sử dụng mô-đun PAM)
• Địa chỉ IP nguồn ( /var/log/secure)

Có bất kỳ phương pháp trích xuất bất cứ điều gì khác? Cho dù đó là thông tin ẩn trong tệp nhật ký, thủ thuật ngẫu nhiên hoặc từ các công cụ của bên thứ 3, v.v.

Chà, một mục mà bạn chưa đề cập đến là dấu vân tay của các khóa riêng mà họ đã thử trước khi nhập mật khẩu. Với openssh, nếu bạn đặt LogLevel VERBOSEtrong /etc/sshd_config, bạn nhận được chúng trong các tập tin log. Bạn có thể kiểm tra chúng dựa trên bộ sưu tập khóa công khai mà người dùng của bạn đã ủy quyền trong hồ sơ của họ, để xem liệu chúng có bị xâm phạm hay không. Trong trường hợp kẻ tấn công đã nắm giữ khóa riêng của người dùng và đang tìm kiếm tên đăng nhập, việc biết rằng khóa bị xâm phạm có thể ngăn chặn sự xâm nhập. Phải thừa nhận rằng, rất hiếm: ai sở hữu khóa riêng cũng có thể đã tìm ra tên đăng nhập ...

Đi sâu hơn một chút LogLevel DEBUG, bạn cũng có thể tìm ra phần mềm / phiên bản máy khách ở định dạng

Client protocol version %d.%d; client software version %.100s

Nó cũng sẽ in trao đổi khóa, mật mã, MAC và phương thức nén có sẵn trong quá trình trao đổi khóa.

Nếu các nỗ lực đăng nhập rất thường xuyên hoặc xảy ra vào tất cả các giờ trong ngày, thì bạn có thể nghi ngờ rằng việc đăng nhập được thực hiện bởi bot.

Bạn có thể suy luận thói quen của người dùng từ thời điểm họ đăng nhập hoặc hoạt động khác trên máy chủ, tức là thông tin đăng nhập luôn là N giây sau khi một lần truy cập Apache từ cùng một địa chỉ IP hoặc yêu cầu POP3 hoặc git kéo.