[サーバ] 狙われやすいアカウント名ランキング8000

  • このエントリーをはてなブックマークに追加
  • LINEで送る

専門学校の生徒用にAWS(Lightsail)でサーバを一台用意しているのですが、(乗っ取られてはいない物の)意図せずハニーポット状態になっていたので、どのアカウント名が狙われていたか軽く集計してみました。

前提

サーバ自体は2018年12月16日に立ち上げたのですが、現存する最古のデータが1月6日となっていたためざっくり1ヶ月間(27日程度)のデータと思っていただければと。

この間の/var/log/secureを集計すると約45万件のアタックを受けていた計算になります。

$ sudo grep -c 'Failed' /var/log/secure*
/var/log/secure:18982
/var/log/secure-20190113:127392
/var/log/secure-20190120:46130
/var/log/secure-20190127:132703
/var/log/secure-20190203:78543

403,750件

$ sudo grep -c 'Invalid' /var/log/secure*
/var/log/secure:1849
/var/log/secure-20190113:10378
/var/log/secure-20190120:11506
/var/log/secure-20190127:9932
/var/log/secure-20190203:14927

48,592件

- Sponsored Link -

トップ50

予め用意した辞書内のユーザーでログイン試行を繰り返すタイプの古来からある手法でアタックされているようなので、ざっくりどのアカウント名が対象になっているか集計をしてみることにしました。

わかっていましたが圧倒的にroot狙いですねw

カウントアカウント名
348243root
4086admin
1431test
1093user
700nagios
598oracle
560support
522ubnt
509postgres
492ubuntu
468guest
428ftpuser
409mysql
358tomcat
356git
348ftp
331usuario
294www
274
261ts3
248teamspeak
241upload
233teste
231default
229adm
225administrator
223student
219deploy
219backup
218zabbix
216testuser
209super
207prueba
200manager
196ts
196operator
192administrador
190hadoop
187pi
185webmaster
179webmail
179server
175apache
1741234
173teamspeak3
170debian
166jira
165suporte
165soporte
163weblogic

今回実行したコマンドは以下になります。

$ sudo grep Failed /var/log/secure* | gawk 'match($0,/for (.*) from/,a){print a[1]}' | sed 's/invalid user //' | sort | uniq -c | sort -nr | head -50

全ランキング

8060件分の集計データをGoogleSpreadsheetに置いておきました。適宜ご利用くださいませ。

次回からlogrotateの設定を長めにしようかなw

続き

セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)
折原 慎吾 鐘本 楊 神谷 和憲 松橋 亜希子 阿部 慎司 永井 信弘 羽田 大樹 朝倉 浩志 田辺 英昭
技術評論社
売り上げランキング: 12,377
- Sponsored Link -

ご質問やリクエストなどお気軽に。メールアドレスの入力は任意です。書き込みが反映されるまで時間がかかります。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください