Обнаружение злоумышленника природы инструментами с открытым исходным кодом как растяжка
Если все, в чем Вы нуждаетесь, должно принять новые неизвестные хосты, попробуйте это:
ssh -o StrictHostKeyChecking=no
Если также необходимо принять измененные ключи хоста, можно обмануть SSH в использование пустого файла для хранения, это - локальный набор известных ключей хоста, то, принимая новые неизвестные. Обратите внимание, что это - Плохой Idea™:
ssh -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no
Сначала общность: метки времени крайне важны. Используйте NTP, чтобы синхронизировать часы Вашей системы, удостовериться, что часы не колеблются повсеместно. После этого можно идти дальше к основам.
Я предложил бы p0f и вход рабочего Michal Zalewski его предположений о входящих запросах TCP. Я использую версию 2, но у Zalewski есть версия 3.
CERT в Carnegie Mellon имеет значительно обновленный файл p0f v2.x цифрового отпечатка.
Можно выполнить p0f v2.x в фоновом режиме с вызовом что-то вроде этого:
p0f -f $FPRINTS -d -t -l -o $LOGFILE
$FPRINTS называет файл цифровых отпечатков и $LOGFILE называет файл, в котором заканчивается вывод.
p0f выскажет Вам довольно достойное предположение о том, какую операционную систему Ваш взломщик использует. Вы будете иметь к предположениям координаты p0f с любыми другими данными, которые Вы собираете.
Альтернатива: SinFP3. Я нашел его немного хитрым для установки, поскольку это имело некоторые нестандартные зависимости от модуля Perl.