ssh会话劫持

Question

我创建了一个使用ssh会话劫持的简单场景。从主机A到主机B有一个单独的会话打开，我可以在已建立的连接内创建另一个连接。我想知道如何在暹粒中检测这样的活动?我不能使用端口，因为只有一个正常的ssh连接。

有什么想法吗？

Answer 1

正如您所指出的，如果要检测在现有SSH连接上打开新的多路复用会话的时间，您将无法在网络级别检测它，因为多个会话是在单个TCP连接上进行多路复用的。

为了能够记录需要增加SSH服务器日志级别的额外会话，在通过现有连接建立新会话时，将/etc/ssh/sshd_config中的D1中的INFO更改为VERBOSE将记录以下条目：

Running命令

Oct 13 19:02:32 server sshd[18850]: Starting session: command for myuser from 192.168.0.1 port 48196 id 1
Oct 13 19:02:32 server sshd[18850]: Close session: user myuser from 192.168.0.1 port 48196 id 1

Opening一个交互式shell

Oct 13 19:11:10 server sshd[19379]: Starting session: shell on pts/5 for myuser from 192.168.0.1 port 48196 id 1

注意各个会话的端口是如何不改变的，而id号则标识每个单独的会话。

总之:提高sshd的日志级别，然后将ssh服务器日志提供给您的SIEM，并查找适当的日志条目。