Назад | Перейти на главную страницу

Наиболее распространенные имена учетных записей, используемые в атаках методом перебора ssh

Кто-нибудь ведет списки наиболее часто угадываемых имен учетных записей, которые используются злоумышленниками с помощью перебора ssh?

Для вашего развлечения, из журналов моего основного сервера за последний месяц (43 313 неудачных попыток ssh) с root не доходя до sshd:

cas@txtproof:~$ grep -e sshd /var/log/auth* | awk ' { print $8 }' | sort | uniq -c | sort | tail -n 13
     32 administrator
     32 stephen
     34 administration
     34 sales
     34 user
     35 matt
     35 postgres
     38 mysql
     42 oracle
     44 guest
     86 test
     90 admin

Это ТОП-10 из lastb у меня в коробке пару месяцев назад:

[contact] => 25
[support] => 28
[info] => 35
[user] => 36
[mysql] => 43
[postgres] => 45
[guest] => 62
[test] => 104
[admin] => 106
[root] => 581

Я бы начал с веб-поиска: http://google.com/?q=common+usernames+used+in+ssh+attacks

Особо следует отметить, что в этом документе есть список, который, по крайней мере, кажется возможным: http://people.clarkson.edu/~jmatthew/publications/leet08.pdf

Я полагаю, вы могли бы просмотреть базу данных сценариев эксплойтов с сайтов безопасности и составить список, или вы могли бы, вероятно, извлечь их из своих собственных журналов данных и использовать другой сценарий для периодической проверки выбросов, чтобы видеть, когда они меняются, но вы можете уменьшить ваша поверхность для атаки совсем немного, если вы поместите Denyhosts в систему для автоматической блокировки IP-адресов после набора неверных учетных данных (и автоматической блокировки того, что другие сайты denyhost периодически блокировали) и / или поместите sshd на другой порт и попросите ваших авторизованных пользователей переключитесь на этот порт (нестандартные порты практически сведут на нет ваши автоматические атаки).

Не знаю, ищете ли вы эти имена для определенной цели или заинтересованы в сокращении попыток атаки сценария ... Но похоже, что вы уже получаете образец приличного размера, из которого можно получить имена пользователей. скриптовые атаки.