SSH Brute Force攻撃で使われていたユーザ名
2017-06-11
- PC
/var/log/secure がちょっと大きくなっており、調べてみると攻撃されていた。 そのときにどんなユーザでログインしようとしていたのかのメモ。
ログの例
ホスト名とか攻撃元IPアドレスは一応隠す。
May 8 13:14:25 myhostname sshd[16520]: User root from XXX.XXX.XXX.XXX not allowed because not listed in AllowUsers
May 8 13:14:25 myhostname sshd[16520]: input_userauth_request: invalid user root [preauth]
May 8 13:14:25 myhostname sshd[16520]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=XXX.XXX.XXX.XXX user=root
May 8 13:14:25 myhostname sshd[16520]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
May 8 13:14:27 myhostname sshd[16520]: Failed password for invalid user root from XXX.XXX.XXX.XXX port 51048 ssh2
May 8 13:14:27 myhostname sshd[16520]: Disconnecting: Too many authentication failures for root [preauth]
ログインユーザ名
invalid user <USERNAME> でログが出ているようなので、その部分を抜き出す。
攻撃回数でソートする。
1回の攻撃でこのログが2回出ているから回数が2倍にカウントされてしまうが、まあいい。
# grep -o "invalid user \S*" /var/log/secure* | awk '{print $NF}' | sort | uniq -c | sort -k1,1 -nr
34 root
14 test
10 ubuntu
8 vmail
8 oracle
8 info
6 zabbix
6 vagrant
6 tomcat
6 server
6 scan
6 samba
6 nagios
6 jenkins
6 ftpuser
6 cyrus
6 cisco
6 bot
6 admin
4 vbox
4 user
4 test1
4 temp
4 svn
4 steam
4 notes
4 master
4 grid
4 git
4 forum
4 csserver
4 arkserver
4 abcs
2 www
2 wpvideo
2 webuser
2 web
2 vyatta
2 vpiven
2 virusalert
2 uucp
2 usuario
2 user1
2 upload
2 ubnt
2 tv
2 ts3server
2 ts3
2 tridentum
2 transfer
2 toto
2 tiptop
2 timemachine
2 testuser
2 testproxy
2 testing
2 tester
2 teste
2 test2
2 terrariaserver
2 template
2 teamspeak3
2 system
2 svt
2 surv
2 support
2 sshd
2 source
2 soporte
2 smishcraft
2 smbuser
2 sky
2 site
2 sinusbot
2 sftp
2 service
2 servermanager
2 server3
2 security
2 sdtdserver
2 scatic
2 scanner
2 sbserver
2 savets3server
2 sales
2 ryan
2 rtorrent
2 rsync
2 redmine
2 rancid
2 radmin
2 qbtuser
2 prueba
2 postgres
2 postfix
2 polycom
2 plex
2 PlcmSpIp
2 pentaho
2 pablo
2 operador
2 openerp
2 omni
2 odoo
2 obackup
2 nova
2 nodo1
2 nobody
2 nmsuser
2 nginx
2 nazish
2 mythtv
2 mysql
2 mwe
2 mongodb
2 minecraft
2 mily
2 media
2 mcserver
2 maria
2 manolo
2 manager
2 mailman
2 maileh
2 liferay
2 libuuid
2 library
2 invitado
2 install
2 informix
2 import
2 image
2 hub
2 hadoop
2 hacluster
2 gtadmin
2 gmodserver
2 glassfish
2 gituser
2 gitcloner
2 ftptest
2 ftpduser
2 ftp
2 fmaster
2 fctrserver
2 factorio
2 event
2 eric
2 emily
2 eduardo
2 eclipse
2 dream
2 dovecot
2 domin
2 deploy
2 demo
2 default
2 debian
2 db2inst1
2 data
2 dale
2 cvsadmin
2 cveks
2 csgoserver
2 couchpotato
2 control
2 content
2 chris
2 centos
2 butter
2 build
2 bookcold
2 billy
2 backuppc
2 backup
2 atlasmaritime
2 apagar
2 aoadm