È possibile sul server registrare la password codificata dall'utente remoto all'interno di un log. Voglio fare un honeypot per vedere il tipo di utente / password usati.
Un altro metodo è quello di collegare strace al processo (ed è figlio). L'input / output verrà registrato lì dopo la decrittografia, fornendo la password. Secondo la mia esperienza, questo genere di cose funziona in modo più affidabile rispetto ai livelli di log di sshd (ma ovviamente YMMV).
write(5, "write(5, "%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%\nPassword: %pre%%pre%"..., 34) = 34
read(5, "%pre%%pre%%pre%\r", 4) = 4
read(5, "4%pre%%pre%%pre%%pre%%pre%%pre%asdf", 13) = 13
%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%\nPassword: %pre%%pre%"..., 34) = 34
read(5, "%pre%%pre%%pre%\r", 4) = 4
read(5, "4%pre%%pre%%pre%%pre%%pre%%pre%asdf", 13) = 13
Se si esegue ssh in modalità di debug completo è possibile farlo registrare il contenuto di tutti i pacchetti e quindi tornare indietro ed estrarre le password da quello. puoi farlo eseguendo
ssh -dddddddd
o aggiungilo al tuo / etc / ssh / sshd_config:
LogLevel DEBUG3
questo lo esegue una volta, in modalità non demone e registra molto più di quanto ti interessi. puoi migliorare questo disabilitando il servizio sshd ed eseguendo ssh con -ddddd da xinitd.
Al lavoro attualmente gestisco un fork open-ssh che include questa capacità perché utilizza un servizio Web esterno per verificare le password. Se puoi permetterti di mantenere una forcella open-ssh, probabilmente darà un'esperienza più pulita.
Questo è molto più semplice da realizzare se si modifica semplicemente il binario sshd per registrare i tentativi di password su un file di registro o su un servizio di registrazione remoto.
Questo è banale da realizzare poiché il codice sorgente è disponibile e molto ben scritto. In realtà, i malintenzionati che ottengono l'accesso a livello root su un server in genere installano binari ssh e sshd modificati che fanno esattamente questo! Dovrebbe essere semplice trovare patch di codice sorgente là fuori se si ha un aspetto; So che ho visto i file di patch comparire nei server delle persone molte volte in passato.