एक विफल SSH प्रयास से उपयोगकर्ता के बारे में क्या सीखा जा सकता है?

एक असफल दुर्भावनापूर्ण SSH प्रयास से 'उपयोगकर्ता' के बारे में क्या सीखा जा सकता है?

• उपयोगकर्ता नाम दर्ज किया गया ( /var/log/secure)
• पासवर्ड दर्ज किया गया (यदि कॉन्फ़िगर किया गया है, अर्थात PAM मॉड्यूल का उपयोग करके)
• स्रोत आईपी पता ( /var/log/secure)

क्या कुछ और निकालने की कोई विधि है? चाहे वह लॉग फाइल, रैंडम ट्रिक्स या तीसरे पक्ष के टूल आदि से छिपी हुई जानकारी हो।

ठीक है, एक आइटम जिसका आपने उल्लेख नहीं किया है वह पासवर्ड दर्ज करने से पहले उन निजी कुंजी की उंगलियों के निशान हैं जो उन्होंने कोशिश की थी। के साथ openssh, यदि आप सेट करते LogLevel VERBOSEहैं /etc/sshd_config, तो आप उन्हें लॉग फ़ाइलों में प्राप्त करते हैं। आप उन सार्वजनिक कुंजियों के संग्रह के खिलाफ जांच कर सकते हैं जिन्हें आपके उपयोगकर्ताओं ने अपनी प्रोफाइल में अधिकृत किया है, यह देखने के लिए कि क्या उन्होंने समझौता किया है। इस मामले में कि किसी हमलावर ने उपयोगकर्ता की निजी कुंजी पकड़ ली है और लॉगिन नाम की तलाश कर रहा है, यह जानते हुए कि कुंजी से छेड़छाड़ की गई घुसपैठ को रोका जा सकता है। बेशक, यह दुर्लभ है: जो एक निजी कुंजी का मालिक है, उसने शायद लॉगिन नाम का भी पता लगा लिया है ...

में थोड़ा आगे जाने पर LogLevel DEBUG, आप प्रारूप में क्लाइंट सॉफ़्टवेयर / संस्करण का भी पता लगा सकते हैं

Client protocol version %d.%d; client software version %.100s

यह प्रमुख एक्सचेंज, सिफर, एमएसीएस और कम्प्रेशन विधियों को प्रमुख एक्सचेंज के दौरान उपलब्ध प्रिंट भी करेगा।

यदि लॉगिन प्रयास बहुत बार होते हैं या दिन के सभी घंटों में होते हैं, तो आपको संदेह हो सकता है कि लॉगिन एक बॉट द्वारा किया जाता है।

आप उस दिन के समय से उपयोगकर्ता की आदतों को कम करने में सक्षम हो सकते हैं जो वे सर्वर पर या अन्य गतिविधि में लॉग इन करते हैं, यानी एक ही आईपी पते से अपाचे हिट होने के बाद लॉगिन हमेशा एन सेकंड होते हैं, या पीओपी 3 अनुरोध, या गिट। खींचें।