Pregunta ¿Puedo ver contraseñas o hashes de inicios de sesión fallidos en ssh?


¿Hay alguna forma en que pueda capturar las contraseñas o hashes que usa un "ataque de diccionario" contra mi servidor ssh?

Me gustaría ver lo que están intentando, para poder protegerme mejor contra eso.


5
2017-12-09 18:29


origen




Respuestas:


Creo que puedes hacer esto con strace contra el demonio ssh. Mira esto ejemplo / guión. Creo que esto probablemente ralentizará el demonio ssh. Mostrará la contraseña real, no el hash.

El núcleo de ese ejemplo es (lo más probable es que sea root):

strace -f -etrace=write -s 64 -p $ssh_pid 2>&1

Mi prueba con el comando anterior donde $ ssh_pid es el pid de / usr / sbin / sshd:

ssh localhost
kbrandt@localhost's password: 
Permission denied, please try again.
...
pid 14742] write(4, "\0\0\0\10foobazes"..., 12) = 12

9
2017-12-09 18:45



Vea la respuesta de Roe con respecto a la ética, no es realmente algo que deba hacer ... "Mis propios intereses son puramente académicos, por supuesto" - Prof. Slughorn :-) - Kyle Brandt♦
La ética no tiene nada que ver con la técnica. O está defendiendo un servidor del que es responsable, o está ocultando contraseñas que no debería estar viendo. Strace no roba credenciales, la gente roba credenciales. - pboin
Otra cosa a tener en cuenta es que si ejecuta esto, y tal vez descargue la información en un archivo, las contraseñas ahora están en texto sin formato, lo que generalmente no es una buena idea. - Kyle Brandt♦
Información muy útil - todos! - Brent


No creo que esto sea posible, al menos no sin hacer un módulo pam que haga eso por ti. Suena bastante poco ético también, así que pise con cuidado. Podría estar bien para analizar ataques, pero tome la contraseña "incorrecta" de un usuario legítimo, y podría haber recogido una contraseña que usa en otro lugar.


4
2017-12-09 18:33



... o, más probablemente, puedes averiguar cuál es su contraseña en realidad mediante la ingeniería inversa de la forma en que lo hizo. - David Mackintosh
... o notifica a tus usuarios para que puedan prepararse. Quién sabe, incluso podría ayudar a reducir los restablecimientos de contraseñas olvidadas. ;RE - fny


Por definición, un ataque de diccionario usa palabras que se encuentran en un diccionario. Aunque puede ser interesante ver qué contraseñas se intentaron, en realidad es una pérdida de tiempo debido a la cantidad casi infinita de contraseñas que no están en el diccionario que se pueden usar. Una mejor manera de proteger su servidor de los ataques SSH es ocultar el servidor detrás de un puerto no estándar. Utilizo un número de puerto alto por encima de 10000 y encuentro que obtengo muy pocos intentos de robo.


0
2017-12-17 14:30