Go to Qiita Advent Calendar 2024 Top
LoginSignup
93
43

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@carotene4035(かろてん)in株式会社ジオロジック

こんなuser名が狙われやすい!linuxで使ってはいけないuser名5選

Posted at

download-1.jpg

存在しないユーザからのsshアクセスがあった

/var/log/secureをなんとなく見ていると、

Failed password for invalid user *** from ...

というログを発見。

これは、

「linux上で登録されていないユーザ *** からのアクセスがありました」ということ。

ログを漁って、攻撃者がどんな名前を用いてアクセスしてくるのか探ってみました。

手順

今回は、ある一日のログを漁ることにした。

ログからinvalid userだけ取り出す

awkを使う。

cat /var/log/secure | awk -F' ' '/Invalid/{print$ 8}' | sort | uniq

0
1
1111
111111
123123
1234
12345
123456
123456789
12345qwert
1234qwer
12qwaszx
1q2w3e4r
1q2w3e4r5t
1qaz2wsx
1qaz@WSX

出てきた。

ついでに集計もしてみる。

cat secure | awk -F' ' '/Invalid/{print$ 8}' | awk '{count[$0]++}END{for(i in count)print count[i], i}' | sort -nr

15 minecraft
14 www
14 user1
14 steam
14 server
14 debian

出てきた。

不正アクセス者ランキング

5位 centos: 1023件

なお、ubuntuは63件でした。

なぜubuntuじゃなくてcentosなのか。

単純にサーバとしてよく使われているから・・・?

それともnmapでOSがわかるから・・・?

(自分のサーバにnmapしてみましたが、unixという情報しか出てきませんでした)

4位 guest: 1096件

ありがち。

3位 user: 1126件

これもありがち。

2位 test: 1178件

これすごくありがち。

1位 admin: 1300件

これからは安易に使わないようにしよう。。。

なお、6位から20位はこんな感じ。

順位 回数/month ユーザ名
6 112 oracle
7 98 nagios
8 90 git
9 63 ubuntu
10 54 hadoop
11 52 pi
12 46 ftpuser
13 43 teamspeak
14 41 zabbix
15 41 vagrant
16 37 vnc
17 37 ubnt
18 35 support
19 31 ts
20 30 ts3

上位5位が圧倒的すぎる。

分類してみた

数字 + ランダムアルファベット系

0
1
1111
111111
123123
1234
12345
123456
123456789

管理者系

ADMIN
Admin123
Administrator
admin
admin1
admin123
admin2
administrador
administrator

有名人系

adam
eva

特定のクラウドサービスを狙ったもの

ec2-user

人名系

外国人

alberto
aleksei
alessandro
alex
alfresco
ali
alice
alicia
allison
ally
alma

日本人

dai
daichi
daiki
daisuke
hideaki
hideki
hideo
hikaru
hiro
hiroaki
hiroki
hiroshi
hiroyuki

ソフトウェア名

nagios
git
hadoop
nginx
nodejs
redis
vagrant

デプロイ用ユーザを狙ったと思われる系

deploy1
deploy123
deploy1234
deploy12345
deploy123456
deploy2
deploy3
deploy4
deploy5

明らかに悪意がある系

exploit

番外編

PPAP

これで日本人だと特定できたかなと思ったのもつかの間、

これ世界的に流行ったやつだからどこからアクセスされてもおかしくねえぞ。

まとめ

user名で避けるべき名前

  • admin
  • test
  • user
  • guest
  • centos

よく使われているからこそ、狙われる。

感想

割と日本人の名前が多い。

どこまで考えて攻撃しているのかはしらないけど、

安易に自分の名前をユーザ名にするのは良くないと感じた。

せめて記号や数値と織り交ぜたい。

また、ソフトウェア名も良くないということがわかった。

93
43
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
93
43

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?