[サーバ] 狙われやすいアカウント名ランキング8000

専門学校の生徒用にAWS(Lightsail)でサーバを一台用意しているのですが、(乗っ取られてはいない物の)意図せずハニーポット状態になっていたので、どのアカウント名が狙われていたか軽く集計してみました。

前提

サーバ自体は2018年12月16日に立ち上げたのですが、現存する最古のデータが1月6日となっていたためざっくり1ヶ月間(27日程度)のデータと思っていただければと。

この間の/var/log/secureを集計すると約45万件のアタックを受けていた計算になります。

$ sudo grep -c 'Failed' /var/log/secure*
/var/log/secure:18982
/var/log/secure-20190113:127392
/var/log/secure-20190120:46130
/var/log/secure-20190127:132703
/var/log/secure-20190203:78543

403,750件

$ sudo grep -c 'Invalid' /var/log/secure*
/var/log/secure:1849
/var/log/secure-20190113:10378
/var/log/secure-20190120:11506
/var/log/secure-20190127:9932
/var/log/secure-20190203:14927

48,592件

トップ50

予め用意した辞書内のユーザーでログイン試行を繰り返すタイプの古来からある手法でアタックされているようなので、ざっくりどのアカウント名が対象になっているか集計をしてみることにしました。

わかっていましたが圧倒的にroot狙いですねｗ

今回実行したコマンドは以下になります。

$ sudo grep Failed /var/log/secure* | gawk 'match($0,/for (.*) from/,a){print a[1]}' | sed 's/invalid user //' | sort | uniq -c | sort -nr | head -50

全ランキング

8060件分の集計データをGoogleSpreadsheetに置いておきました。適宜ご利用くださいませ。

次回からlogrotateの設定を長めにしようかなｗ

続き

[サーバ] お行儀の悪いアタック国ランキング

https://blog.katsubemakito.net/articles/badcountry_ranking-2019

前回の続きです。狙われやすいアカウント名ランキングに続きまして、どこの国からアタックを受けているかも調査してみました。…まぁなんとなく結果はわかっていましたが、数値化するのが大事ですよね！（虚空を見つめがら）結果発表IPアドレス単位 # カウント IPアドレス 国CD 国名 1 43,148 218.92.1.163 CN 中国 2 43,147 58.242.83.7 CN 中国 3 43,147 218.92.1.174 CN 中国 4 43,147 218.92.1.173 CN 中国 5 31,139 112.85.42.196 CN 中国 6 27,063 218.92.1.181 CN 中国 7 21,800 112.85.4...

ねこの足跡R

セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)

posted with amazlet at 19.02.03

折原 慎吾 鐘本 楊 神谷 和憲 松橋 亜希子 阿部 慎司 永井 信弘 羽田 大樹 朝倉 浩志 田辺 英昭
技術評論社
売り上げランキング: 12,377

Amazon.co.jpで詳細を見る

このブログを応援する

お寄せいただいたお気持ちは全額サーバ代や次の記事を執筆するための原資として活用させていただいております。この記事が参考になった場合などぜひご検討ください。

PayPalで300円支払う
※金額は任意で変更できます。
※100円でも泣いて喜びますw
※住所の入力欄が現れた場合は「no needed」を選択ください
これまでのご協力者さま

- Sponsored Link -