Posted at

こんなuser名が狙われやすい!linuxで使ってはいけないuser名5選

More than 1 year has passed since last update.


存在しないユーザからのsshアクセスがあった

/var/log/secureをなんとなく見ていると、

Failed password for invalid user *** from ...

というログを発見。

これは、

「linux上で登録されていないユーザ *** からのアクセスがありました」ということ。

ログを漁って、攻撃者がどんな名前を用いてアクセスしてくるのか探ってみました。


手順

今回は、ある一日のログを漁ることにした。


ログからinvalid userだけ取り出す

awkを使う。

cat /var/log/secure | awk -F' ' '/Invalid/{print$ 8}' | sort | uniq

0

1
1111
111111
123123
1234
12345
123456
123456789
12345qwert
1234qwer
12qwaszx
1q2w3e4r
1q2w3e4r5t
1qaz2wsx
1qaz@WSX

出てきた。

ついでに集計もしてみる。

cat secure | awk -F' ' '/Invalid/{print$ 8}' | awk '{count[$0]++}END{for(i in count)print count[i], i}' | sort -nr

15 minecraft

14 www
14 user1
14 steam
14 server
14 debian

出てきた。


不正アクセス者ランキング


5位 centos: 1023件

なお、ubuntuは63件でした。

なぜubuntuじゃなくてcentosなのか。

単純にサーバとしてよく使われているから・・・?

それともnmapでOSがわかるから・・・?

(自分のサーバにnmapしてみましたが、unixという情報しか出てきませんでした)


4位 guest: 1096件

ありがち。


3位 user: 1126件

これもありがち。


2位 test: 1178件

これすごくありがち。


1位 admin: 1300件

これからは安易に使わないようにしよう。。。

なお、6位から20位はこんな感じ。

順位
回数/month
ユーザ名

6
112
oracle

7
98
nagios

8
90
git

9
63
ubuntu

10
54
hadoop

11
52
pi

12
46
ftpuser

13
43
teamspeak

14
41
zabbix

15
41
vagrant

16
37
vnc

17
37
ubnt

18
35
support

19
31
ts

20
30
ts3

上位5位が圧倒的すぎる。


分類してみた


数字 + ランダムアルファベット系

0

1
1111
111111
123123
1234
12345
123456
123456789


管理者系

ADMIN

Admin123
Administrator
admin
admin1
admin123
admin2
administrador
administrator


有名人系

adam

eva


特定のクラウドサービスを狙ったもの

ec2-user


人名系


外国人

alberto

aleksei
alessandro
alex
alfresco
ali
alice
alicia
allison
ally
alma


日本人

dai

daichi
daiki
daisuke
hideaki
hideki
hideo
hikaru
hiro
hiroaki
hiroki
hiroshi
hiroyuki


ソフトウェア名

nagios

git
hadoop
nginx
nodejs
redis
vagrant


デプロイ用ユーザを狙ったと思われる系

deploy1

deploy123
deploy1234
deploy12345
deploy123456
deploy2
deploy3
deploy4
deploy5


明らかに悪意がある系

exploit


番外編

PPAP

これで日本人だと特定できたかなと思ったのもつかの間、

これ世界的に流行ったやつだからどこからアクセスされてもおかしくねえぞ。


まとめ


user名で避けるべき名前


  • admin

  • test

  • user

  • guest

  • centos

よく使われているからこそ、狙われる。


感想

割と日本人の名前が多い。

どこまで考えて攻撃しているのかはしらないけど、

安易に自分の名前をユーザ名にするのは良くないと感じた。

せめて記号や数値と織り交ぜたい。

また、ソフトウェア名も良くないということがわかった。