某所で運用しているサーバの話なんですが、割と"SSH Brute Force Attack"がヒドく、対策を行わないといけないんですが、その前にせっかくなので、攻撃者がどんなユーザ名でログインを試みているかの統計を取ってみました。
というわけで、ログインに失敗した回数、上位10ユーザ名の一覧を取得するワンライナー。
# cat /var/log/secure* | grep 'Invalid' | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 10
結果は、だいたい予想通りですが、↓のような感じです。
1474 admin 1399 test 1059 123456 751 oracle 703 user 570 guest 416 web 380 www 370 info 359 backup
というわけで、"admin"とか"test"とか"oracle"とか"user"とか"guest"とか・・・・・を外部に公開するユーザとして使っちゃいけませんよ、という話でした。
"123456"とかは、ちょっと意外だったな。。。
ちなみに、過去のローテーションされているログがbzip圧縮されているケースが多いと思うので、そういうときは"cat"の変わりに"bzcat"を使いましょう。
ついでにベスト100も残しておきます
参考までに。
# cat /var/log/secure* | grep 'Invalid' | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 100 1474 admin 1399 test 1059 123456 751 oracle 703 user 570 guest 416 web 380 www 370 info 359 backup 315 student 311 michael 296 12345 281 server 280 alex 259 paul 255 postgres 250 john 236 adam 235 administrator 229 tomcat 229 temp 229 nagios 225 david 219 sales 218 mike 218 apache 216 danny 212 linux 201 bill 198 webmaster 195 eric 188 george 188 angel 187 webuser 187 httpd 183 1234 179 123 177 ftpuser 175 adrian 173 students 172 qwerty 170 tester 165 users 163 dave 162 support 162 shop 162 jobs 159 alias 158 kevin 155 bind 154 library 152 samba 152 ben 151 site 150 mouse 148 work 148 mp3 147 cyrus 145 director 144 carol 140 pgsql 140 monitor 139 online 139 kelly 139 id 138 edit 138 amanda 134 network 134 god 134 family 133 dan 133 clark 133 abc 131 wget 130 richard 129 mailer 129 export 128 mc 128 history 128 exec 127 time 127 source 127 shift 127 firewall 126 russ 126 enable 126 command 125 select 125 sbin 125 public 125 ifconfig 124 readonly 124 go 124 function 124 fc 124 demo 124 cesar 124 a 123 pwd
ベスト5000くらいを取っておけば、辞書ファイルが完成しますね。。。
ネットワークセキュリティHacks 第2版 ―プロが使うテクニック & ツール 100+
- 作者: Andrew Lockhart,渡辺勝弘,鶴岡信彦,黒川原佳
- 出版社/メーカー: オライリー・ジャパン
- 発売日: 2007/06/18
- メディア: 単行本(ソフトカバー)
- 購入: 1人 クリック: 54回
- この商品を含むブログ (15件) を見る