¿Es posible en el servidor registrar la contraseña codificada por el usuario remoto dentro de un registro? Quiero hacer un honeypot para ver el tipo de usuario / contraseña utilizada.
Otro método es adjuntar strace al proceso (y sus hijos). La entrada / salida se registrará allí después del descifrado, dando lugar a la contraseña. En mi experiencia, este tipo de cosas funciona de manera más confiable que el uso de los niveles de registro de sshd (pero por supuesto YMMV).
write(5, "write(5, "%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%\nPassword: %pre%%pre%"..., 34) = 34
read(5, "%pre%%pre%%pre%\r", 4) = 4
read(5, "4%pre%%pre%%pre%%pre%%pre%%pre%asdf", 13) = 13
%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%%pre%\nPassword: %pre%%pre%"..., 34) = 34
read(5, "%pre%%pre%%pre%\r", 4) = 4
read(5, "4%pre%%pre%%pre%%pre%%pre%%pre%asdf", 13) = 13
Si ejecuta ssh en modo de depuración completa, puede hacer que registre el contenido de todos los paquetes y luego volver y extraer las contraseñas de eso. Puedes hacer esto bu corriendo
ssh -dddddddd
o agrégalo a tu / etc / ssh / sshd_config:
LogLevel DEBUG3
esto lo ejecuta una vez, en modo no daemon y registra mucho más de lo que le importa. puede mejorar esto deshabilitando el servicio sshd y ejecutando ssh con el -ddddd desde xinitd.
En el trabajo, actualmente mantengo un fork open-ssh que incluye esta capacidad porque usa un servicio web externo para verificar las contraseñas. Si puede permitirse mantener un tenedor open-ssh, es probable que ofrezca una experiencia más limpia.
Esto es mucho más simple de lograr si solo modifica el binario sshd para registrar los intentos de contraseña en un archivo de registro o en un servicio de registro remoto.
Esto es trivial de lograr ya que el código fuente está disponible y muy bien escrito. De hecho, los atacantes que obtienen acceso de nivel de raíz en un servidor normalmente instalan archivos binarios ssh y sshd modificados que hacen exactamente eso. Debería ser sencillo encontrar parches de código fuente por ahí si tiene una mirada; Sé que he visto los archivos de parches aparecer en los servidores de las personas muchas veces en el pasado.