某所で運用しているサーバの話なんですが、割と"SSH Brute Force Attack"がヒドく、対策を行わないといけないんですが、その前にせっかくなので、攻撃者がどんなユーザ名でログインを試みているかの統計を取ってみました。
というわけで、ログインに失敗した回数、上位10ユーザ名の一覧を取得するワンライナー。
# cat /var/log/secure* | grep 'Invalid' | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 10結果は、だいたい予想通りですが、↓のような感じです。
1474 admin
1399 test
1059 123456
751 oracle
703 user
570 guest
416 web
380 www
370 info
359 backupというわけで、"admin"とか"test"とか"oracle"とか"user"とか"guest"とか・・・・・を外部に公開するユーザとして使っちゃいけませんよ、という話でした。
"123456"とかは、ちょっと意外だったな。。。
ちなみに、過去のローテーションされているログがbzip圧縮されているケースが多いと思うので、そういうときは"cat"の変わりに"bzcat"を使いましょう。
ついでにベスト100も残しておきます
参考までに。
# cat /var/log/secure* | grep 'Invalid' | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 100
1474 admin
1399 test
1059 123456
751 oracle
703 user
570 guest
416 web
380 www
370 info
359 backup
315 student
311 michael
296 12345
281 server
280 alex
259 paul
255 postgres
250 john
236 adam
235 administrator
229 tomcat
229 temp
229 nagios
225 david
219 sales
218 mike
218 apache
216 danny
212 linux
201 bill
198 webmaster
195 eric
188 george
188 angel
187 webuser
187 httpd
183 1234
179 123
177 ftpuser
175 adrian
173 students
172 qwerty
170 tester
165 users
163 dave
162 support
162 shop
162 jobs
159 alias
158 kevin
155 bind
154 library
152 samba
152 ben
151 site
150 mouse
148 work
148 mp3
147 cyrus
145 director
144 carol
140 pgsql
140 monitor
139 online
139 kelly
139 id
138 edit
138 amanda
134 network
134 god
134 family
133 dan
133 clark
133 abc
131 wget
130 richard
129 mailer
129 export
128 mc
128 history
128 exec
127 time
127 source
127 shift
127 firewall
126 russ
126 enable
126 command
125 select
125 sbin
125 public
125 ifconfig
124 readonly
124 go
124 function
124 fc
124 demo
124 cesar
124 a
123 pwdベスト5000くらいを取っておけば、辞書ファイルが完成しますね。。。
ネットワークセキュリティHacks 第2版 ―プロが使うテクニック & ツール 100+
- 作者: Andrew Lockhart,渡辺勝弘,鶴岡信彦,黒川原佳
- 出版社/メーカー: オライリー・ジャパン
- 発売日: 2007/06/18
- メディア: 単行本(ソフトカバー)
- 購入: 1人 クリック: 54回
- この商品を含むブログ (15件) を見る
