Nombres de usuario que intentan iniciar sesión no autorizada en el servidor a través de SSH

6 min

language: ja bn en es hi pt ru zh-cn zh-tw

Hola, soy un inútil.
¿Cuál es el ranking de nombres de usuario utilizados al intentar iniciar sesión a través de SSH?
Me dio curiosidad, así que lo investigué.
Si también te interesan las verificaciones anteriores, consulta esto.
Ranking de países que intentan acceso no autorizado vía SSH
¡De qué país es el que intenta acceder sin autorización a mi servidor vía SSH!
De alguna manera, se está convirtiendo en una especie de honeypot personal, aunque no tenía esa intención...

Método de verificación

Lo extraigo de la siguiente manera.

cat /var/log/auth.log | grep user | grep Invalid | awk '{print $(NF-4)}'

Luego, añado lo siguiente con una tubería (pipe).

| sort | uniq -c | sort -ntr

Con esto, puedo identificar aproximadamente los nombres de usuario que intentan iniciar sesión.

cat /var/log/auth.log | grep user | grep Invalid | awk '{print $(NF-4)}' | sort | uniq -c | sort -ntr

Debian (VPS de Hetzner)

Había demasiados, así que los he cortado a la mitad.

      5 aaron
      5 alex
      5 ali
      5 anthony
      5 anti
      5 asma
      5 awsgui
      5 ba
      5 bhaskar
      5 celina
      5 christine
      5 esadmin
      5 gitlab-runner
      5 jsucursal
      5 junyi
      5 mom
      5 mongo
      5 nuha
      5 oceanbase
      5 plexserver
      5 polkadot
      5 setup
      5 snake
      5 sqream
      5 sr
      5 stephen
      5 stl
      5 su
      5 tjones
      5 ts
      5 udatabase
      5 validator
      5 wanghaomin
      5 weblogic
      5 yarn
      5 yjh
      6 a
      6 ari
      6 baba
      6 debianuser
      6 esroot
      6 felix
      6 john
      6 jumpserver
      6 NL5xUDpV2xRa
      6 solana
      6 sugi
      7 bigdata
      7 david
      7 default
      7 demo
      7 kubernetes
      7 nexus
      7 node
      7 plex
      7 test1
      7 testuser
      8 appuser
      8 bot
      8 data
      8 hive
      8 rabbitmq
      8 usuario
      8 vagrant
      9 amit
     10 elasticsearch
     10 observer
     10 temp
     11 apache
     11 mongodb
     11 rancher
     11 tools
     11 worker
     11 zabbix
     12 developer
     12 flink
     12 nvidia
     12 ranger
     12 svnuser
     13 docker
     13 elsearch
     13 gpadmin
     14 centos
     14 test2
     15 ubnt
     15 user1
     16 elastic
     16 lighthouse
     17 oscar
     17 sonar
     17 wang
     18 tomcat
     18 uftp
     19 deploy
     19 steam
     21 nginx
     22 dolphinscheduler
     22 ftp
     22 www
     23 almacen
     23 bounce
     23 dev
     23 lrendon
     24 flask
     24 pi
     24 postgres
     25 arthur
     25 erpnext
     25 esuser
     25 gns3
     25 guest
     26 app
     26 gitlab
     26 halo
     26 tom
     27 deamon
     27 k8s
     28 hadoop
     31 ftpuser
     33 jenkins
     35 es
     45 test
     49 jrodriguez
     75 oracle
    111 intel
    163 admin
    180 debian
    221 user
    280 ubuntu

FreeBSD (VPS de Vultr)

   5 RPM
   5 aaa
   5 c
   5 cardano
   5 cloud
   5 cxc
   5 dell
   5 dudu
   5 hosting
   5 james
   5 lighthouse
   5 manager
   5 mapr
   5 minecraft
   5 monitor-local
   5 nagios
   5 odoo
   5 openproject
   5 redis
   5 udatabase
   6 cd
   6 customer
   6 dbuser
   6 elasticsearch
   6 fil
   6 haturatu
   6 jenkins
   6 john
   6 latitude
   6 nvidia
   6 splunk
   6 telecomadmin
   7 a3user
   7 cenagro
   7 inspur
   8 ansible
   8 b
   8 ethereum
   8 noc
   8 prueba
   8 x
   8 zabbix
   9 ansadmin
   9 ch
   9 kafka
   9 oneadmin
   9 steam
  10 sysadmin
  10 vyos
  11 jito
  11 loginuser
  11 postgres
  11 watanabe
  12 eyes4you
  12 ftp
  13 username
  14 btclol
  14 student
  14 teste
  15 craft
  15 installer
  15 max
  15 sol
  16 perl
  16 polkadot
  17 naveen
  17 support
  18 debian
  19 dev
  19 git
  19 mysql
  21 wqmarlduiqkmgs
  25 ftpuser
  25 nopainforcakes
  27 guest
  27 hadoop
  27 solana
  30 a
  42 data
  46 user1
  47 blockchain
  47 oracle
  49 ubuntu
  50 centos
  50 sh
  54 validator
  57 NL5xUDpV2xRa
  57 ubnt
  59 node
  86 soulminingrig
  90 info
  96 backup
 173 pi
 216 test
 437 kanekoayano
 442 admin
 464 cultdeadcows
 470 user
 540 shamboozie
 744 alleycatrace
 815 damepo

Comentarios sobre los resultados

Se pueden ver muchos intentos dirigidos a usuarios de ejecución de productos de middleware.
Además, es bastante preocupante que muchos de ellos apunten a nodos de blockchain.
Aun así, ¿por qué apuntan específicamente a 11 watanabe, un nombre japonés?
¿Quizás se originó en Mrs. Watanabe?
Por cierto, el usuario 'damepo' en la parte superior de FreeBSD probablemente está intentando iniciar sesión basándose en el hecho de que Nginx en este VPS está escuchando este dominio.

Por cierto, la mayoría de los usuarios registrados en mi entorno son usuarios nologin, y solo he creado aproximadamente 2 o 3 usuarios que pueden ejecutar shells, incluido root.
Como el inicio de sesión de root por SSH está deshabilitado, los usuarios que realmente pueden iniciar sesión se limitan a 1 o 2.
Hasta la próxima.
Saludos cordiales.