从失败的SSH尝试中可以了解到用户的情况?

从一个失败的恶意SSH尝试中可以得知“用户”是什么?

  • input的用户名( /var/log/secure
  • input密码(如果已configuration,即使用PAM模块)
  • 源IP地址( /var/log/secure

有什么方法可以提取其他东西吗? 无论是信息隐藏在日志文件,随机技巧或从第三方工具等

那么,你没有提到的项目是他们在input密码之前尝试的私钥的指纹。 使用openssh ,如果您在/etc/sshd_config设置了LogLevel VERBOSE ,则会将它们放入日志文件中。 您可以根据您的用户在他们的configuration文件中授权的公钥来检查它们是否已经被入侵。 在攻击者掌握了用户的私钥并正在查找login名的情况下,知道该密钥已被泄露可以防止入侵。 不可否认,很less有谁拥有一个私人密钥可能也find了login名…

进一步进入LogLevel DEBUG ,你也可以find格式的客户端软件/版本

 Client protocol version %d.%d; client software version %.100s 

它还将打印在密钥交换期间可用的密钥交换,密码,MAC和压缩方法。

如果login尝试非常频繁或在一天中的任何时候发生,那么您可能会怀疑login是由bot执行的。

您可以从服务器login或其他活动的时间推断出用户的习惯,也就是说,来自同一个IP地址,或者POP3请求或者git的Apache命中之后,login总是N秒拉。