sshで攻撃されやすいユーザー名ランキング50
最近、私のサーバーにログインを試みたユーザー名のランキングです。
ちょっと偏りがあるかもしれないです。
ランキング作成シェルスクリプト
動作確認はCentOS6.5 でしています。
# 最後にあるlessを 'head -n 50' に変更すれば、ランキング50が出力できる。
# secureはrootじゃないと読めないから気をつけて!
grep Invalid /var/log/secure* | cut -f 8 -d " " | sort | uniq -c | sort -nr | less
攻撃されたユーザー名ランキング50(2015/06/23採取)
# アクセス数 : ユーザー名
11655 user
3812 admin
2046 test
1757 guest
1000 ubnt
922 nagios
677 pi
506 oracle
498 zabbix
471 ftpuser
453 xbian
429 PlcmSpIp
418 support
388 kadmin
371 default
296 www-data
291 aaron
288 ubuntu
277 D-Link
270 postgres
190 zxin10
173 tomcat
166 web
144 jboss
143 student
140 sysadmin
135 vnc
129 backup
121 cisco
119 mysql
115 weblogic
115 vyatta
115 alex
111 test2
111 sales
111 git
109 apache
108 zhaowei
108 webadmin
105 library
97 fluffy
92 cacti
82 shoutcast
82 Test
81 info
79 teamspeak
78 httpd
76 www
76 hadoop
73 minecraft
攻撃されたユーザー名ランキング50 その2(2016/06/27採取)
# アクセス数:ユーザー数
634 admin
560 jp-eastpute
560 idcfcloud
560 eastpute
560 210-140-96-53
409 oracle
318 test
288 nagios
287 teamspeak
240 postgres
233 minecraft
214 zabbix
183 ts
180 teamspeak3
172 ts3
162 ftpuser
153 user
153 tomcat
140 ubuntu
133 hadoop
131 deploy
129 ubnt
128 guest
126 redmine
119 webadmin
114 mysql
108 support
106 jenkins
99 jboss
97 info
97 alex
95 apache
92 www-data
91 www
89 pi
81 developer
79 backup
73 wordpress
70 svn
67 weblogic
66 db2inst1
65 vnc
64 tom
63 cacti
58 dev
57 steam
57 david
57 PlcmSpIp
56 sybase
56 centos
感想
Webサーバーとして公開しているわけではなく、GitLab等で個人的に利用しているにも関わらず攻撃が多すぎてびっくり。
ユーザー名をピタリと当ててくる攻撃はなかったので一安心。
鍵認証しか許可してないので、特に怖がる必要もないけども。
良い子はsshのパスワード認証を無効化して、鍵認証のみにしようね!
追記 2016/06/27
2016/06/27 久しぶりに採取してみました。諸事情により、前回と同じサーバーではなく新しく立てたサーバーです。idcf cloudです。ユーザー名で当ててきてびっくり。サーバー上にそのユーザーは存在しないので脅威ではないけれどね。
IPでもランキングとってみると、韓国からの攻撃がほとんどだった。
今のところ、このサーバーはprivate gitlab専用なので、日本以外を弾く設定にすれば相当数の攻撃を防げそうな気がする。