SSH Brute Force攻撃で使われていたユーザ名

/var/log/secure がちょっと大きくなっており、調べてみると攻撃されていた。
そのときにどんなユーザでログインしようとしていたのかのメモ。

ログの例

ホスト名とか攻撃元IPアドレスは一応隠す。

May  8 13:14:25 myhostname sshd[16520]: User root from XXX.XXX.XXX.XXX not allowed because not listed in AllowUsers
May  8 13:14:25 myhostname sshd[16520]: input_userauth_request: invalid user root [preauth]
May  8 13:14:25 myhostname sshd[16520]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX  user=root
May  8 13:14:25 myhostname sshd[16520]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
May  8 13:14:27 myhostname sshd[16520]: Failed password for invalid user root from XXX.XXX.XXX.XXX port 51048 ssh2
May  8 13:14:27 myhostname sshd[16520]: Disconnecting: Too many authentication failures for root [preauth]

ログインユーザ名

invalid user <USERNAME> でログが出ているようなので、その部分を抜き出す。
攻撃回数でソートする。
1回の攻撃でこのログが2回出ているから回数が2倍にカウントされてしまうが、まあいい。

# grep -o "invalid user \S*" /var/log/secure* | awk '{print $NF}' | sort | uniq -c | sort -k1,1 -nr
     34 root
     14 test
     10 ubuntu
      8 vmail
      8 oracle
      8 info
      6 zabbix
      6 vagrant
      6 tomcat
      6 server
      6 scan
      6 samba
      6 nagios
      6 jenkins
      6 ftpuser
      6 cyrus
      6 cisco
      6 bot
      6 admin
      4 vbox
      4 user
      4 test1
      4 temp
      4 svn
      4 steam
      4 notes
      4 master
      4 grid
      4 git
      4 forum
      4 csserver
      4 arkserver
      4 abcs
      2 www
      2 wpvideo
      2 webuser
      2 web
      2 vyatta
      2 vpiven
      2 virusalert
      2 uucp
      2 usuario
      2 user1
      2 upload
      2 ubnt
      2 tv
      2 ts3server
      2 ts3
      2 tridentum
      2 transfer
      2 toto
      2 tiptop
      2 timemachine
      2 testuser
      2 testproxy
      2 testing
      2 tester
      2 teste
      2 test2
      2 terrariaserver
      2 template
      2 teamspeak3
      2 system
      2 svt
      2 surv
      2 support
      2 sshd
      2 source
      2 soporte
      2 smishcraft
      2 smbuser
      2 sky
      2 site
      2 sinusbot
      2 sftp
      2 service
      2 servermanager
      2 server3
      2 security
      2 sdtdserver
      2 scatic
      2 scanner
      2 sbserver
      2 savets3server
      2 sales
      2 ryan
      2 rtorrent
      2 rsync
      2 redmine
      2 rancid
      2 radmin
      2 qbtuser
      2 prueba
      2 postgres
      2 postfix
      2 polycom
      2 plex
      2 PlcmSpIp
      2 pentaho
      2 pablo
      2 operador
      2 openerp
      2 omni
      2 odoo
      2 obackup
      2 nova
      2 nodo1
      2 nobody
      2 nmsuser
      2 nginx
      2 nazish
      2 mythtv
      2 mysql
      2 mwe
      2 mongodb
      2 minecraft
      2 mily
      2 media
      2 mcserver
      2 maria
      2 manolo
      2 manager
      2 mailman
      2 maileh
      2 liferay
      2 libuuid
      2 library
      2 invitado
      2 install
      2 informix
      2 import
      2 image
      2 hub
      2 hadoop
      2 hacluster
      2 gtadmin
      2 gmodserver
      2 glassfish
      2 gituser
      2 gitcloner
      2 ftptest
      2 ftpduser
      2 ftp
      2 fmaster
      2 fctrserver
      2 factorio
      2 event
      2 eric
      2 emily
      2 eduardo
      2 eclipse
      2 dream
      2 dovecot
      2 domin
      2 deploy
      2 demo
      2 default
      2 debian
      2 db2inst1
      2 data
      2 dale
      2 cvsadmin
      2 cveks
      2 csgoserver
      2 couchpotato
      2 control
      2 content
      2 chris
      2 centos
      2 butter
      2 build
      2 bookcold
      2 billy
      2 backuppc
      2 backup
      2 atlasmaritime
      2 apagar
      2 aoadm