尝试通过SSH非法登录服务器的用户名
大家好,我是无能。
当有人尝试通过SSH登录时,使用的用户名排名是怎样的呢?
我很好奇,所以来调查一下。
如果您对过去的验证也感兴趣,请查看这些内容。
尝试通过SSH进行未经授权访问的国家排名
试图通过SSH未经授权访问我的服务器的人是哪个国家的!
不知为何,虽然我并没有刻意为之,但它似乎正在变成一个自制的蜜罐...
验证方法
我将使用以下方法进行提取。
cat /var/log/auth.log | grep user | grep Invalid | awk '{print $(NF-4)}'
然后,在后面加上管道符和以下内容。
| sort | uniq -c | sort -ntr
这样,就可以大致找出所有尝试登录的用户名了。
cat /var/log/auth.log | grep user | grep Invalid | awk '{print $(NF-4)}' | sort | uniq -c | sort -ntr
Debian(Hetzner VPS)
因为太多了,所以我在中间进行了截断。
5 aaron
5 alex
5 ali
5 anthony
5 anti
5 asma
5 awsgui
5 ba
5 bhaskar
5 celina
5 christine
5 esadmin
5 gitlab-runner
5 jsucursal
5 junyi
5 mom
5 mongo
5 nuha
5 oceanbase
5 plexserver
5 polkadot
5 setup
5 snake
5 sqream
5 sr
5 stephen
5 stl
5 su
5 tjones
5 ts
5 udatabase
5 validator
5 wanghaomin
5 weblogic
5 yarn
5 yjh
6 a
6 ari
6 baba
6 debianuser
6 esroot
6 felix
6 john
6 jumpserver
6 NL5xUDpV2xRa
6 solana
6 sugi
7 bigdata
7 david
7 default
7 demo
7 kubernetes
7 nexus
7 node
7 plex
7 test1
7 testuser
8 appuser
8 bot
8 data
8 hive
8 rabbitmq
8 usuario
8 vagrant
9 amit
10 elasticsearch
10 observer
10 temp
11 apache
11 mongodb
11 rancher
11 tools
11 worker
11 zabbix
12 developer
12 flink
12 nvidia
12 ranger
12 svnuser
13 docker
13 elsearch
13 gpadmin
14 centos
14 test2
15 ubnt
15 user1
16 elastic
16 lighthouse
17 oscar
17 sonar
17 wang
18 tomcat
18 uftp
19 deploy
19 steam
21 nginx
22 dolphinscheduler
22 ftp
22 www
23 almacen
23 bounce
23 dev
23 lrendon
24 flask
24 pi
24 postgres
25 arthur
25 erpnext
25 esuser
25 gns3
25 guest
26 app
26 gitlab
26 halo
26 tom
27 deamon
27 k8s
28 hadoop
31 ftpuser
33 jenkins
35 es
45 test
49 jrodriguez
75 oracle
111 intel
163 admin
180 debian
221 user
280 ubuntu
FreeBSD(Vultr VPS)
5 RPM
5 aaa
5 c
5 cardano
5 cloud
5 cxc
5 dell
5 dudu
5 hosting
5 james
5 lighthouse
5 manager
5 mapr
5 minecraft
5 monitor-local
5 nagios
5 odoo
5 openproject
5 redis
5 udatabase
6 cd
6 customer
6 dbuser
6 elasticsearch
6 fil
6 haturatu
6 jenkins
6 john
6 latitude
6 nvidia
6 splunk
6 telecomadmin
7 a3user
7 cenagro
7 inspur
8 ansible
8 b
8 ethereum
8 noc
8 prueba
8 x
8 zabbix
9 ansadmin
9 ch
9 kafka
9 oneadmin
9 steam
10 sysadmin
10 vyos
11 jito
11 loginuser
11 postgres
11 watanabe
12 eyes4you
12 ftp
13 username
14 btclol
14 student
14 teste
15 craft
15 installer
15 max
15 sol
16 perl
16 polkadot
17 naveen
17 support
18 debian
19 dev
19 git
19 mysql
21 wqmarlduiqkmgs
25 ftpuser
25 nopainforcakes
27 guest
27 hadoop
27 solana
30 a
42 data
46 user1
47 blockchain
47 oracle
49 ubuntu
50 centos
50 sh
54 validator
57 NL5xUDpV2xRa
57 ubnt
59 node
86 soulminingrig
90 info
96 backup
173 pi
216 test
437 kanekoayano
442 admin
464 cultdeadcows
470 user
540 shamboozie
744 alleycatrace
815 damepo
结果感想
可以看到,许多攻击目标是中间件产品的运行用户。
此外,针对区块链节点的攻击也相当多,这让人感到有些担忧。
话说回来,为什么会特意针对11 watanabe这个日本名字进行攻击呢...?
是起源于渡边太太吗?
顺便说一下,FreeBSD上排名靠前的damepo用户,可能是因为这个VPS的Nginx正在监听这个域名,所以他们也以此为基础尝试登录。
顺便说一下,我环境中注册的用户大多是nologin用户,可以执行shell的用户,包括root在内,大约只创建了2~3个。
由于SSH的root登录已设置为no,所以实际可以登录的用户被限制在1~2个。
那么,下次再见。
请多关照。