Řešení 1:
Položka, kterou jste nezmínili, jsou otisky soukromých klíčů, které vyzkoušeli před zadáním hesla. S openssh , pokud nastavíte LogLevel VERBOSE v /etc/sshd_config , získáte je v souborech protokolu. Můžete je porovnat se sbírkou veřejných klíčů, které vaši uživatelé autorizovali ve svých profilech, a zjistit, zda nebyly kompromitovány. V případě, že se útočník zmocní soukromého klíče uživatele a hledá přihlašovací jméno, může vědomí, že klíč je kompromitován, zabránit průniku. Je pravda, že je to vzácné:kdo vlastní soukromý klíč, pravděpodobně také zjistil přihlašovací jméno...
Řešení 2:
Jdeme trochu dále do LogLevel DEBUG , můžete také zjistit klientský software/verzi ve formátu
Client protocol version %d.%d; client software version %.100s
Vytiskne také výměnu klíčů, šifry, MAC a kompresní metody dostupné během výměny klíčů.
Řešení 3:
Pokud jsou pokusy o přihlášení velmi časté nebo k nim dochází ve všech hodinách dne, můžete mít podezření, že přihlášení provádí robot.
Zvyky uživatele můžete odvodit z denní doby, kdy se přihlašují, nebo z jiné aktivity na serveru, tj. přihlášení jsou vždy N sekund po zásahu Apache ze stejné IP adresy nebo požadavku POP3 nebo git. vytáhnout.