web-dev-qa-db-ja.com

sshブルートフォース攻撃で使用される最も一般的なアカウント名

攻撃者がブルートフォーシングsshを使用する、最も頻繁に推測されるアカウント名のリストを保持している人はいますか?

おもしろいことに、先月のメインサーバーのログ(43313回のssh試行の失敗)から、rootsshdまで到達していません。

 cas @ txtproof:〜$ grep -e sshd/var/log/auth * | awk '{print $ 8}' |並べ替え| uniq -c |並べ替え| tail -n 13 
 32管理者
 32スティーブン
 34管理
 34販売
 34ユーザー
 35マット
 35 postgres 
 38 mysql 
 42 Oracle 
 44ゲスト
 86テスト
 90管理者
3
Charles Stewart

私はウェブ検索から始めます: http://google.com/?q=common+usernames+used+in+ssh+attacks

特に注目すべきは、このドキュメントには少なくとも可能と思われるリストがあるようです: http://people.clarkson.edu/~jmatthew/publications/leet08.pdf

2
Michael Graff

これらは、数か月前の私のボックスのlastbのトップ10です。

[contact] => 25
[support] => 28
[info] => 35
[user] => 36
[mysql] => 43
[postgres] => 45
[guest] => 62
[test] => 104
[admin] => 106
[root] => 581
3
Ivan Petrushev

セキュリティサイトのエクスプロイトスクリプトのデータベースを調べてリストを作成するか、独自のデータログから派生させ、別のスクリプトを使用して定期的に異常値をチェックし、いつ変更されるかを確認することもできますが、削減することもできます。一連の不正な資格情報の後にIPを自動的にブロックするようにシステムにDenyhostsを配置する(および他のdenyhostサイトが定期的にブロックするものを自動ブロックする)場合、および/または別のポートにsshdを配置して許可されたユーザーがいる場合、攻撃対象領域は少しだけそのポートにシフトします(非標準のポートでは、自動化された攻撃が実質的にゼロになります)。

設定された目的でこれらの名前を探しているのか、スクリプト攻撃の試行を減らすことに関心があるのか​​はわかりません...しかし、ユーザー名を取得するための適切なサイズのサンプルをすでに取得しているようですスクリプトによる攻撃。

1