Кто-нибудь ведет списки наиболее часто угадываемых имен учетных записей, которые используются злоумышленниками с помощью перебора ssh?
Для вашего развлечения, из журналов моего основного сервера за последний месяц (43 313 неудачных попыток ssh) с root
не доходя до sshd
:
cas@txtproof:~$ grep -e sshd /var/log/auth* | awk ' { print $8 }' | sort | uniq -c | sort | tail -n 13 32 administrator 32 stephen 34 administration 34 sales 34 user 35 matt 35 postgres 38 mysql 42 oracle 44 guest 86 test 90 admin
Это ТОП-10 из lastb
у меня в коробке пару месяцев назад:
[contact] => 25
[support] => 28
[info] => 35
[user] => 36
[mysql] => 43
[postgres] => 45
[guest] => 62
[test] => 104
[admin] => 106
[root] => 581
Я бы начал с веб-поиска: http://google.com/?q=common+usernames+used+in+ssh+attacks
Особо следует отметить, что в этом документе есть список, который, по крайней мере, кажется возможным: http://people.clarkson.edu/~jmatthew/publications/leet08.pdf
Я полагаю, вы могли бы просмотреть базу данных сценариев эксплойтов с сайтов безопасности и составить список, или вы могли бы, вероятно, извлечь их из своих собственных журналов данных и использовать другой сценарий для периодической проверки выбросов, чтобы видеть, когда они меняются, но вы можете уменьшить ваша поверхность для атаки совсем немного, если вы поместите Denyhosts в систему для автоматической блокировки IP-адресов после набора неверных учетных данных (и автоматической блокировки того, что другие сайты denyhost периодически блокировали) и / или поместите sshd на другой порт и попросите ваших авторизованных пользователей переключитесь на этот порт (нестандартные порты практически сведут на нет ваши автоматические атаки).
Не знаю, ищете ли вы эти имена для определенной цели или заинтересованы в сокращении попыток атаки сценария ... Но похоже, что вы уже получаете образец приличного размера, из которого можно получить имена пользователей. скриптовые атаки.