51
Help us understand the problem. What are the problem?

More than 5 years have passed since last update.

posted at

updated at

sshで攻撃されやすいユーザー名ランキング50

sshで攻撃されやすいユーザー名ランキング50

最近、私のサーバーにログインを試みたユーザー名のランキングです。
ちょっと偏りがあるかもしれないです。

ランキング作成シェルスクリプト

動作確認はCentOS6.5 でしています。

# 最後にあるlessを 'head -n 50'  に変更すれば、ランキング50が出力できる。
# secureはrootじゃないと読めないから気をつけて!
grep Invalid /var/log/secure* | cut -f 8 -d " " | sort | uniq -c | sort -nr | less

攻撃されたユーザー名ランキング50(2015/06/23採取)

# アクセス数 : ユーザー名
11655 user
3812 admin
2046 test
1757 guest
1000 ubnt
 922 nagios
 677 pi
 506 oracle
 498 zabbix
 471 ftpuser
 453 xbian
 429 PlcmSpIp
 418 support
 388 kadmin
 371 default
 296 www-data
 291 aaron
 288 ubuntu
 277 D-Link
 270 postgres
 190 zxin10
 173 tomcat
 166 web
 144 jboss
 143 student
 140 sysadmin
 135 vnc
 129 backup
 121 cisco
 119 mysql
 115 weblogic
 115 vyatta
 115 alex
 111 test2
 111 sales
 111 git
 109 apache
 108 zhaowei
 108 webadmin
 105 library
  97 fluffy
  92 cacti
  82 shoutcast
  82 Test
  81 info
  79 teamspeak
  78 httpd
  76 www
  76 hadoop
  73 minecraft

攻撃されたユーザー名ランキング50 その2(2016/06/27採取)

# アクセス数:ユーザー数
    634 admin
    560 jp-eastpute
    560 idcfcloud
    560 eastpute
    560 210-140-96-53
    409 oracle
    318 test
    288 nagios
    287 teamspeak
    240 postgres
    233 minecraft
    214 zabbix
    183 ts
    180 teamspeak3
    172 ts3
    162 ftpuser
    153 user
    153 tomcat
    140 ubuntu
    133 hadoop
    131 deploy
    129 ubnt
    128 guest
    126 redmine
    119 webadmin
    114 mysql
    108 support
    106 jenkins
     99 jboss
     97 info
     97 alex
     95 apache
     92 www-data
     91 www
     89 pi
     81 developer
     79 backup
     73 wordpress
     70 svn
     67 weblogic
     66 db2inst1
     65 vnc
     64 tom
     63 cacti
     58 dev
     57 steam
     57 david
     57 PlcmSpIp
     56 sybase
     56 centos

感想

Webサーバーとして公開しているわけではなく、GitLab等で個人的に利用しているにも関わらず攻撃が多すぎてびっくり。
ユーザー名をピタリと当ててくる攻撃はなかったので一安心。
鍵認証しか許可してないので、特に怖がる必要もないけども。
良い子はsshのパスワード認証を無効化して、鍵認証のみにしようね!

追記 2016/06/27

2016/06/27 久しぶりに採取してみました。諸事情により、前回と同じサーバーではなく新しく立てたサーバーです。idcf cloudです。ユーザー名で当ててきてびっくり。サーバー上にそのユーザーは存在しないので脅威ではないけれどね。
IPでもランキングとってみると、韓国からの攻撃がほとんどだった。
今のところ、このサーバーはprivate gitlab専用なので、日本以外を弾く設定にすれば相当数の攻撃を防げそうな気がする。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
51
Help us understand the problem. What are the problem?