SSHでサーバーに不正ログインしにこようとしているユーザ名

4 min read

こんにちは、無能です。
SSHでのログイン試行しようとしてきているときに使われているユーザ名のランキングはなんでしょうか?
気になったので見てみます。
過去の検証も気になればこれをご確認ください。
SSHで不正アクセスしようとしている国ランク
俺のサーバーにSSHで不正アクセスをしようとしているしようとしているやつはどこの国だ!
なんか、実際そうしようとした目的なかったのにオレオレハニーポッドみたいな感じになってきてますね・・・。

検証方法

以下のようにこれで抽出します。

cat /var/log/auth.log | grep user | grep Invalid | awk '{print $(NF-4)}'

その後ろにパイプで以下をくっつけます。

| sort | uniq -c | sort -ntr

これで、ログインしようとしているユーザ名をだいたい洗い出せます。

cat /var/log/auth.log | grep user | grep Invalid | awk '{print $(NF-4)}' | sort | uniq -c | sort -ntr

Debian(Hetzner VPS)

多すぎてたので途中で区切っています。

      5 aaron
      5 alex
      5 ali
      5 anthony
      5 anti
      5 asma
      5 awsgui
      5 ba
      5 bhaskar
      5 celina
      5 christine
      5 esadmin
      5 gitlab-runner
      5 jsucursal
      5 junyi
      5 mom
      5 mongo
      5 nuha
      5 oceanbase
      5 plexserver
      5 polkadot
      5 setup
      5 snake
      5 sqream
      5 sr
      5 stephen
      5 stl
      5 su
      5 tjones
      5 ts
      5 udatabase
      5 validator
      5 wanghaomin
      5 weblogic
      5 yarn
      5 yjh
      6 a
      6 ari
      6 baba
      6 debianuser
      6 esroot
      6 felix
      6 john
      6 jumpserver
      6 NL5xUDpV2xRa
      6 solana
      6 sugi
      7 bigdata
      7 david
      7 default
      7 demo
      7 kubernetes
      7 nexus
      7 node
      7 plex
      7 test1
      7 testuser
      8 appuser
      8 bot
      8 data
      8 hive
      8 rabbitmq
      8 usuario
      8 vagrant
      9 amit
     10 elasticsearch
     10 observer
     10 temp
     11 apache
     11 mongodb
     11 rancher
     11 tools
     11 worker
     11 zabbix
     12 developer
     12 flink
     12 nvidia
     12 ranger
     12 svnuser
     13 docker
     13 elsearch
     13 gpadmin
     14 centos
     14 test2
     15 ubnt
     15 user1
     16 elastic
     16 lighthouse
     17 oscar
     17 sonar
     17 wang
     18 tomcat
     18 uftp
     19 deploy
     19 steam
     21 nginx
     22 dolphinscheduler
     22 ftp
     22 www
     23 almacen
     23 bounce
     23 dev
     23 lrendon
     24 flask
     24 pi
     24 postgres
     25 arthur
     25 erpnext
     25 esuser
     25 gns3
     25 guest
     26 app
     26 gitlab
     26 halo
     26 tom
     27 deamon
     27 k8s
     28 hadoop
     31 ftpuser
     33 jenkins
     35 es
     45 test
     49 jrodriguez
     75 oracle
    111 intel
    163 admin
    180 debian
    221 user
    280 ubuntu

FreeBSD(Vultr VPS)

   5 RPM
   5 aaa
   5 c
   5 cardano
   5 cloud
   5 cxc
   5 dell
   5 dudu
   5 hosting
   5 james
   5 lighthouse
   5 manager
   5 mapr
   5 minecraft
   5 monitor-local
   5 nagios
   5 odoo
   5 openproject
   5 redis
   5 udatabase
   6 cd
   6 customer
   6 dbuser
   6 elasticsearch
   6 fil
   6 haturatu
   6 jenkins
   6 john
   6 latitude
   6 nvidia
   6 splunk
   6 telecomadmin
   7 a3user
   7 cenagro
   7 inspur
   8 ansible
   8 b
   8 ethereum
   8 noc
   8 prueba
   8 x
   8 zabbix
   9 ansadmin
   9 ch
   9 kafka
   9 oneadmin
   9 steam
  10 sysadmin
  10 vyos
  11 jito
  11 loginuser
  11 postgres
  11 watanabe
  12 eyes4you
  12 ftp
  13 username
  14 btclol
  14 student
  14 teste
  15 craft
  15 installer
  15 max
  15 sol
  16 perl
  16 polkadot
  17 naveen
  17 support
  18 debian
  19 dev
  19 git
  19 mysql
  21 wqmarlduiqkmgs
  25 ftpuser
  25 nopainforcakes
  27 guest
  27 hadoop
  27 solana
  30 a
  42 data
  46 user1
  47 blockchain
  47 oracle
  49 ubuntu
  50 centos
  50 sh
  54 validator
  57 NL5xUDpV2xRa
  57 ubnt
  59 node
  86 soulminingrig
  90 info
  96 backup
 173 pi
 216 test
 437 kanekoayano
 442 admin
 464 cultdeadcows
 470 user
 540 shamboozie
 744 alleycatrace
 815 damepo

結果感想

ミドルウェア製品の実行ユーザを狙っているものが多数見受けられます。
また、ブロックチェーンノードを対象としていたりするのがかなり多いことが結構怖い部分ですね。
にしても、なんで11 watanabeってワタナベっていう日本人名でわざわざ狙ってきているんだろ・・・?
ミセス・ワタナベ発祥とか?
ちなみに、FreeBSDの上位のdamepoユーザだとかはこのVPSでNginx側でこのドメインをListenしているので多分それも元にログイン試行しているんだと思います。

ちなみに自分の環境の登録しているユーザはほとんどがnologinユーザでシェル実行出来るユーザはおおよそroot含め2~3ユーザしか作成していません。
SSHでのroot loginはnoにしているので実際にログイン出来るユーザは1~2ユーザに絞られています。
それではまた。
よろしくお願いいたします。

PGP --- Contact --- Machines