之前我已經在wooyun和91ri上發表了這篇文章,今天轉到51cto上。。。
預設的ssh日誌是不帶密碼記錄功能的,現在想把登入密碼記錄下來,這樣就可以蒐集***的ssh爆破字典了,從而可以反掃回去。 具體方法就是給預設的ssh原始碼打個patch
#wget
#tar xzvf openssh-6.6p1.tar.gz
#cd openssh-6.6p1
在當前目錄下建立乙個patch檔案sshlog.patch,**如下:
--- auth-passwd.c 2014-05-25 19:51:28.000000000 -0400
+++ auth-passwd-sshlog.c 2014-02-11 12:19:42.000000000 -0500
@@ -82,6 +82,7 @@
{ struct passwd * pw = authctxt->pw;
int result, ok = authctxt->valid;
+ logit("sshlog: %s %s", authctxt->user, password);
#if defined(use_shadow) && defined(has_shadow_expire)
static int expire_checked = 0;
#endif
然後打patch
#patch --dry-run < sshlog.patch
#patch < sshlog.patch
備份之前的ssh配置檔案
#mv /etc/ssh/ /etc/ssh_old
編譯安裝ssh
#./configure --prefix=/usr --sysconfdir=/etc/ssh --without-zlib-version-check --with-md5-passwords --mandir=/usr/share/man
重新啟動ssh服務
/etc/init.d/sshd restart
ssh爆破時的密碼會被記錄在/var/log/message檔案裡
可以看到此時伺服器還在被爆破中…
通過d3.js可以圖形化爆破的次數更直觀(以下伺服器8天內被爆破的次數)
有的朋友看完可能會有幾點疑問:
1. 日誌裡既可以記錄暴力破解的密碼那麼也可以記錄管理員登入的正確密碼,如果被***看到豈不是反而不安全?
因為密碼是存在 /var/log/messages裡的,該檔案的許可權是600,也就是其他屬主和組的使用者是讀不到的,除了超戶意外,當然假如你的web服務是root管理的,而這web服務又存在漏洞被拿下了,進而得到root許可權了,那麼誰也救不了了,所以應用程式還是要用普通使用者來維護的安全。
2. 記錄這個密碼有什麼用呢?
豐富自己的字典檔案,可掃別人掃到的東西,***。(不建議搞破壞哦)
ssh免密碼登入記錄
做mha hadoop安裝過程中都要用ssh免密碼登陸,查過一些資料,踩過很多坑,下面用簡單記錄一下 首先要安裝ssh linux centos 6.5 yum y install ssh 安裝好ssh後確定ssh是啟動狀態 service sshd status start stop restar...
內網滲透 ssh 22號埠弱密碼爆破
nmap具體使用方法可以參考 1 將收集到的活著的ip放到乙個txt資料夾中,利用 nmap il ip.txt 進行批量掃瞄埠 或者可以參考 2 使用 nmap pr on home xh shentou out.log 192.168.10.0 24 直接 掃瞄乙個網段內所有的ip,掃瞄的結果會...
如何實現 ssh 無密碼登入
假設你是hosta上的乙個使用者 alicea 想以使用者 aliceb 的身份ssh到hostb上,但又不想輸入密碼。那麼,你可以參考這篇教程實現ssh無密碼登入。首先,你需要以使用者 alicea 的身份登入到hosta上。然後,使用ssh keygen生成一對rsa公私鑰,生成的金鑰對會存放在...