Алеандр

А как успешной может быть авторизация, где в качестве логина передан пароль? Она априори неудачная.
Ой, уже все еще раз повторили, включая тролля, который выдает чужие ответы за свои )

Ладно, кормить тролля - дело неблагодарное ) Он даже там, где его поставили в угол - будет вертеться, как уж на сковороде 🤣

Бла-бла-бла от теоретика, представления не имеющего как это все работает.  Я за тебя уже сделал половину работы со всеми допущениями: якобы сайт, якобы получил, якобы пароль от рута. Даже в этом случае ты ничего сделать не можешь.

Я тебе реализовал просто так, без проблем, эту ситуацию: https://searchengines.guru/ru/forum/1053355#comment_16723640
Ну? Оказывается, это ничего не дает, да? Очередное троляля.

Ну так ломай? Я же тебе его написал. Реальный пароль, от реального сервера, от реального рута. Представь, что я его ввел тут на форуме ошибочно в поле пароля и ты владелец этого форума, и логируешь пароли. Дальше что? Я то как раз практик ))

Везде на подобных системах плюс-минус одинаково, просто под рукой был centos, с него и дернул, дабы не теоретизировать.

Выше дал пароль. Что вы с ним сделаете? Вы теоретизируете на пустом месте. В ваших теориях все исполнимо, практика - она чуток другая )

Внимательно прочтите стартпост, пароль будет вместо root. Ведь он введен был в поле login.

Еще раз, для этого нужно знать КУДА после вводить этот пароль рута. И не факт, что рута вообще. Правилом хорошего тона является отключение пользователя root в ssh, вместо этого используется любой другой пользователь, имеющий привилегии перейти под рут через sudo (su), например.

Вот тебе пароль от рута: 'F+v{=E]_AGy5PaF
Во-первых, куда его ввести? Во-вторых, ssh доступ у рута отключен. Даже найдя, куда его ввести - он не актуален, ssh не пропустит авторизацию root на моих серверах. Толку то его знать..

А если ваш сайт или сервер хакнули и прочие удовольствия - то это разговор совсем о другом.

PS: А, я еще и порты меняю для ssh, но это от ботов, просканировать на открытый порт - не проблема. Но от ботов, нагружающих вечными брутфорсами по стандартному порту - очень помогает.

А это, как раз, и не страшно. Даже, если он, в теории, попадет в какой-то лог чужого сайта - сопоставить его с тем, куда его реально нужно вводить - практически невозможно. В большинстве же случаев сайты не занимаются такой ерундой, как логирование неверных паролей, а просто сверяют хэш введенных данных с тем, что содержится в БД.

Тогда уж опаснее ввести пароль рута не на тот сервер, фишинговый, с подстановкой через NS или еще каким-то образом, но, для этого и существует предупреждение, если отпечаток системы перестал совпадать с ранее определенным в файлике уже известных хостов.

Для Centos, например: /var/log/secure по умолчанию.

В открытом виде, вот реальная строка записи из лога:
Nov 21 03:50:11 v** sshd[25356]: Failed password for root from *** port 55860 ssh2

Хотя, правильнее будет говорить о такой строке:
Nov 27 15:52:42 v** sshd[10137]: Failed password for invalid user user from *** port 45838 ssh2
Поскольку запись немного изменится, ибо пользователь "ваш пароль" invalid. Однако, это ничего не меняет, запись в логе в открытом виде так и останется, с вашим паролем.

Как долго: до тех пор, пока этот лог не будет удален. Зависит от того, как настроена ротация логов на конкретном сервере. Кто не заморачивается - логи хранятся пока позволяет место на диске.