sshブルートフォース攻撃で使用される最も一般的なアカウント名
攻撃者がブルートフォーシングsshを使用する、最も頻繁に推測されるアカウント名のリストを保持している人はいますか?
おもしろいことに、先月のメインサーバーのログ(43313回のssh試行の失敗)から、rootがsshdまで到達していません。
cas @ txtproof:〜$ grep -e sshd/var/log/auth * | awk '{print $ 8}' |並べ替え| uniq -c |並べ替え| tail -n 13
32管理者
32スティーブン
34管理
34販売
34ユーザー
35マット
35 postgres
38 mysql
42 Oracle
44ゲスト
86テスト
90管理者
私はウェブ検索から始めます: http://google.com/?q=common+usernames+used+in+ssh+attacks
特に注目すべきは、このドキュメントには少なくとも可能と思われるリストがあるようです: http://people.clarkson.edu/~jmatthew/publications/leet08.pdf
これらは、数か月前の私のボックスのlastbのトップ10です。
[contact] => 25
[support] => 28
[info] => 35
[user] => 36
[mysql] => 43
[postgres] => 45
[guest] => 62
[test] => 104
[admin] => 106
[root] => 581
セキュリティサイトのエクスプロイトスクリプトのデータベースを調べてリストを作成するか、独自のデータログから派生させ、別のスクリプトを使用して定期的に異常値をチェックし、いつ変更されるかを確認することもできますが、削減することもできます。一連の不正な資格情報の後にIPを自動的にブロックするようにシステムにDenyhostsを配置する(および他のdenyhostサイトが定期的にブロックするものを自動ブロックする)場合、および/または別のポートにsshdを配置して許可されたユーザーがいる場合、攻撃対象領域は少しだけそのポートにシフトします(非標準のポートでは、自動化された攻撃が実質的にゼロになります)。
設定された目的でこれらの名前を探しているのか、スクリプト攻撃の試行を減らすことに関心があるのかはわかりません...しかし、ユーザー名を取得するための適切なサイズのサンプルをすでに取得しているようですスクリプトによる攻撃。