[サーバ] 狙われやすいアカウント名ランキング8000

専門学校の生徒用にAWS(Lightsail)でサーバを一台用意しているのですが、(乗っ取られてはいない物の)意図せずハニーポット状態になっていたので、どのアカウント名が狙われていたか軽く集計してみました。

前提

サーバ自体は2018年12月16日に立ち上げたのですが、現存する最古のデータが1月6日となっていたためざっくり1ヶ月間(27日程度)のデータと思っていただければと。

この間の/var/log/secureを集計すると約45万件のアタックを受けていた計算になります。

$ sudo grep -c 'Failed' /var/log/secure*
/var/log/secure:18982
/var/log/secure-20190113:127392
/var/log/secure-20190120:46130
/var/log/secure-20190127:132703
/var/log/secure-20190203:78543

403,750件

$ sudo grep -c 'Invalid' /var/log/secure*
/var/log/secure:1849
/var/log/secure-20190113:10378
/var/log/secure-20190120:11506
/var/log/secure-20190127:9932
/var/log/secure-20190203:14927

48,592件

トップ50

予め用意した辞書内のユーザーでログイン試行を繰り返すタイプの古来からある手法でアタックされているようなので、ざっくりどのアカウント名が対象になっているか集計をしてみることにしました。

わかっていましたが圧倒的にroot狙いですねw

カウント アカウント名
348243 root
4086 admin
1431 test
1093 user
700 nagios
598 oracle
560 support
522 ubnt
509 postgres
492 ubuntu
468 guest
428 ftpuser
409 mysql
358 tomcat
356 git
348 ftp
331 usuario
294 www
274
261 ts3
248 teamspeak
241 upload
233 teste
231 default
229 adm
225 administrator
223 student
219 deploy
219 backup
218 zabbix
216 testuser
209 super
207 prueba
200 manager
196 ts
196 operator
192 administrador
190 hadoop
187 pi
185 webmaster
179 webmail
179 server
175 apache
174 1234
173 teamspeak3
170 debian
166 jira
165 suporte
165 soporte
163 weblogic

今回実行したコマンドは以下になります。

$ sudo grep Failed /var/log/secure* | gawk 'match($0,/for (.*) from/,a){print a[1]}' | sed 's/invalid user //' | sort | uniq -c | sort -nr | head -50

全ランキング

8060件分の集計データをGoogleSpreadsheetに置いておきました。適宜ご利用くださいませ。

次回からlogrotateの設定を長めにしようかなw

続き

blog.katsubemakito.net

セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)
折原 慎吾 鐘本 楊 神谷 和憲 松橋 亜希子 阿部 慎司 永井 信弘 羽田 大樹 朝倉 浩志 田辺 英昭
技術評論社
売り上げランキング: 12,377