専門学校の生徒用にAWS(Lightsail)でサーバを一台用意しているのですが、(乗っ取られてはいない物の)意図せずハニーポット状態になっていたので、どのアカウント名が狙われていたか軽く集計してみました。
前提
サーバ自体は2018年12月16日に立ち上げたのですが、現存する最古のデータが1月6日となっていたためざっくり1ヶ月間(27日程度)のデータと思っていただければと。
この間の/var/log/secure
を集計すると約45万件のアタックを受けていた計算になります。
$ sudo grep -c 'Failed' /var/log/secure* /var/log/secure:18982 /var/log/secure-20190113:127392 /var/log/secure-20190120:46130 /var/log/secure-20190127:132703 /var/log/secure-20190203:78543
403,750件
$ sudo grep -c 'Invalid' /var/log/secure* /var/log/secure:1849 /var/log/secure-20190113:10378 /var/log/secure-20190120:11506 /var/log/secure-20190127:9932 /var/log/secure-20190203:14927
48,592件
トップ50
予め用意した辞書内のユーザーでログイン試行を繰り返すタイプの古来からある手法でアタックされているようなので、ざっくりどのアカウント名が対象になっているか集計をしてみることにしました。
わかっていましたが圧倒的にroot
狙いですねw
カウント | アカウント名 |
---|---|
348243 | root |
4086 | admin |
1431 | test |
1093 | user |
700 | nagios |
598 | oracle |
560 | support |
522 | ubnt |
509 | postgres |
492 | ubuntu |
468 | guest |
428 | ftpuser |
409 | mysql |
358 | tomcat |
356 | git |
348 | ftp |
331 | usuario |
294 | www |
274 | |
261 | ts3 |
248 | teamspeak |
241 | upload |
233 | teste |
231 | default |
229 | adm |
225 | administrator |
223 | student |
219 | deploy |
219 | backup |
218 | zabbix |
216 | testuser |
209 | super |
207 | prueba |
200 | manager |
196 | ts |
196 | operator |
192 | administrador |
190 | hadoop |
187 | pi |
185 | webmaster |
179 | webmail |
179 | server |
175 | apache |
174 | 1234 |
173 | teamspeak3 |
170 | debian |
166 | jira |
165 | suporte |
165 | soporte |
163 | weblogic |
今回実行したコマンドは以下になります。
$ sudo grep Failed /var/log/secure* | gawk 'match($0,/for (.*) from/,a){print a[1]}' | sed 's/invalid user //' | sort | uniq -c | sort -nr | head -50
全ランキング
8060件分の集計データをGoogleSpreadsheetに置いておきました。適宜ご利用くださいませ。
次回からlogrotateの設定を長めにしようかなw
続き
セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)
posted with amazlet at 19.02.03
折原 慎吾 鐘本 楊 神谷 和憲 松橋 亜希子 阿部 慎司 永井 信弘 羽田 大樹 朝倉 浩志 田辺 英昭
技術評論社
売り上げランキング: 12,377
技術評論社
売り上げランキング: 12,377