SSH総当り攻撃(Brute Force Attack)の傾向から利用を避けたいユーザ名 - 元RX-7乗りの適当な日々

某所で運用しているサーバの話なんですが、割と"SSH Brute Force Attack"がヒドく、対策を行わないといけないんですが、その前にせっかくなので、攻撃者がどんなユーザ名でログインを試みているかの統計を取ってみました。 というわけで、ログインに失敗した回数、上位10ユーザ名の一覧を取得するワンライナー。 # cat /var/log/secure* | grep 'Invalid' | awk '{print $8}' | sort | uniq -c | sort -nr | head -n 10結果は、だいたい予想通りですが、↓のような感じです。 1474 admin 1399 test 1059 123456 751 oracle 703 user 570 guest 416 web 380 www 370 info 359 backupというわけで、"admin"とか"

[S0R5]

いまさらだけどあとで何か書く

[uunfo]

gzipのときはzcatで。って、そんなユーザーを外部からログイン可能にしている人がいるのかorz パスワードログイン禁止もしくはポートの変更のどっちかはやっておくべき。

[hirafoo]

sshdのlistenポート変えてからうちでは一切攻撃受けなくなった

[fifnel]

adminが1位なのにrootが圏外な件について

[foosin]

sshdのlistenポート変えてからうちでは一切攻撃受けなくなった

[honeybe]

あとで。

[FTTH]

（公開鍵必須にしても）これは何も考えないと使っちゃうユーザ名ではあるな……。

[Rewish]

タイムリーだ

[y-kawaz]

まずパスワード認証使わないようにすればブルートフォースとは無縁になる。更にとりあえずポート変えとくとそれだけでワームによるアクセスの99.99999%は無くなる。

[nyomonyomo]

adminでもtestでもなくSchuelerさんが大流行したことあるなんかのBOT？http://d.hatena.ne.jp/nyomonyomo/20080820

[atsushifx]

ssh,rootlogin deny,password auth denyはガチ

[hurvinek]

パスワード総当り攻撃に使われるID

[kamipo]

ちなみに、過去のローテーションされているログがbzip圧縮されているケースが多いと思うので、そういうときは"cat"の変わりに"bzcat"を使いましょう。

[HolyGrail]

かなり昔に侵入されたときのIDが日本語の人名（ローマ字表記）とかでビビった／つまり本当に大切なのはSSHのパスワード認証は許可しないこと／それ以後PasswordAuthenticationの設定を忘れないように心がけてる

[yocchan731]

やってみた＞http://written.4403.biz/archives/2009/02/ssh.html

[zorio]

はてなidとかでじゅうたん爆撃されませんように。

[otsune]

dankogaiという文字列がID辞書に載る日はまだか

[wacky]

あるサーバーへのブルートフォースアタック（総当り攻撃）に使われたユーザー名の上位100。設定していると特に危険なユーザー名。

[cubed-l]

出来るならパスワードによる認証は避けたほうが楽だわね

[sankaseki]

SSH総当り攻撃(Brute Force Attack)の傾向から利用を避けたいユーザ名 - RX-7乗りの適当な日々

[teramako]

圧縮されていないのなら、awk '/Invalid/ {print $8}' | sort -nr | uniq -c | head -100 で良いような... // ユーザ名を支えるより公開鍵認証only && ポート番号1024以降 がお勧め(ログにも残らなくなるけど)

[ktakeda47]

「・・・というわけで、"admin"とか"test"とか"user"とか"guest"とか・・・・・を外部に公開するユーザとして使っちゃいけませんよ、という話でした。・・・」 oracle が結構上位なのが笑える

[daruyanagi]

うちにもジョンさんやマイケルさんがいっぱいくるお！中国からはAdminさんがおおいかなー。少なくともデフォルトで用意されているアカウントは速攻消しとくべきだね