存在しないユーザからのsshアクセスがあった

/var/log/secureをなんとなく見ていると、

Failed password for invalid user *** from ...

というログを発見。

これは、

「linux上で登録されていないユーザ *** からのアクセスがありました」ということ。

ログを漁って、攻撃者がどんな名前を用いてアクセスしてくるのか探ってみました。

手順

今回は、ある一日のログを漁ることにした。

ログからinvalid userだけ取り出す

awkを使う。

cat /var/log/secure | awk -F' ' '/Invalid/{print$ 8}' | sort | uniq

0
1
1111
111111
123123
1234
12345
123456
123456789
12345qwert
1234qwer
12qwaszx
1q2w3e4r
1q2w3e4r5t
1qaz2wsx
1qaz@WSX

出てきた。

ついでに集計もしてみる。

cat secure | awk -F' ' '/Invalid/{print$ 8}' | awk '{count[$0]++}END{for(i in count)print count[i], i}' | sort -nr

15 minecraft
14 www
14 user1
14 steam
14 server
14 debian

出てきた。

不正アクセス者ランキング

5位　centos: 1023件

なお、ubuntuは63件でした。

なぜubuntuじゃなくてcentosなのか。

単純にサーバとしてよく使われているから・・・？

それともnmapでOSがわかるから・・・？

（自分のサーバにnmapしてみましたが、unixという情報しか出てきませんでした）

4位　guest: 1096件

ありがち。

3位　user: 1126件

これもありがち。

2位　test: 1178件

これすごくありがち。

1位　admin: 1300件

これからは安易に使わないようにしよう。。。

なお、6位から20位はこんな感じ。

順位	回数/month	ユーザ名
6	112	oracle
7	98	nagios
8	90	git
9	63	ubuntu
10	54	hadoop
11	52	pi
12	46	ftpuser
13	43	teamspeak
14	41	zabbix
15	41	vagrant
16	37	vnc
17	37	ubnt
18	35	support
19	31	ts
20	30	ts3

上位５位が圧倒的すぎる。

分類してみた

数字 + ランダムアルファベット系

管理者系

ADMIN
Admin123
Administrator
admin
admin1
admin123
admin2
administrador
administrator

有名人系

adam
eva

特定のクラウドサービスを狙ったもの

ec2-user

人名系

外国人

alberto
aleksei
alessandro
alex
alfresco
ali
alice
alicia
allison
ally
alma

日本人

dai
daichi
daiki
daisuke
hideaki
hideki
hideo
hikaru
hiro
hiroaki
hiroki
hiroshi
hiroyuki

ソフトウェア名

nagios
git
hadoop
nginx
nodejs
redis
vagrant

デプロイ用ユーザを狙ったと思われる系

deploy1
deploy123
deploy1234
deploy12345
deploy123456
deploy2
deploy3
deploy4
deploy5

明らかに悪意がある系

exploit

番外編

PPAP

これで日本人だと特定できたかなと思ったのもつかの間、

これ世界的に流行ったやつだからどこからアクセスされてもおかしくねえぞ。

まとめ

user名で避けるべき名前

admin
test
user
guest
centos

よく使われているからこそ、狙われる。

感想

割と日本人の名前が多い。

どこまで考えて攻撃しているのかはしらないけど、

安易に自分の名前をユーザ名にするのは良くないと感じた。

せめて記号や数値と織り交ぜたい。

また、ソフトウェア名も良くないということがわかった。

こんなuser名が狙われやすい！linuxで使ってはいけないuser名5選