嘗試透過 SSH 非法登入伺服器的使用者名稱
你好,我是無能。
嘗試透過 SSH 登入時使用的使用者名稱排名是什麼?
我很好奇,所以來看看。
如果您對過去的驗證也感興趣,請查看這些:
嘗試透過 SSH 非法存取的國家排名
試圖透過 SSH 非法存取我的伺服器的人是哪個國家的人!
總覺得,雖然我本來沒有那個目的,但它卻變成了一種「自製蜜罐」的感覺呢...。
驗證方法
我將像下面這樣進行提取。
cat /var/log/auth.log | grep user | grep Invalid | awk '{print $(NF-4)}'
然後在後面加上以下管道指令。
| sort | uniq -c | sort -ntr
這樣,就可以大致找出嘗試登入的使用者名稱了。
cat /var/log/auth.log | grep user | grep Invalid | awk '{print $(NF-4)}' | sort | uniq -c | sort -ntr
Debian(Hetzner VPS)
因為太多了,所以我在中間進行了截斷。
5 aaron
5 alex
5 ali
5 anthony
5 anti
5 asma
5 awsgui
5 ba
5 bhaskar
5 celina
5 christine
5 esadmin
5 gitlab-runner
5 jsucursal
5 junyi
5 mom
5 mongo
5 nuha
5 oceanbase
5 plexserver
5 polkadot
5 setup
5 snake
5 sqream
5 sr
5 stephen
5 stl
5 su
5 tjones
5 ts
5 udatabase
5 validator
5 wanghaomin
5 weblogic
5 yarn
5 yjh
6 a
6 ari
6 baba
6 debianuser
6 esroot
6 felix
6 john
6 jumpserver
6 NL5xUDpV2xRa
6 solana
6 sugi
7 bigdata
7 david
7 default
7 demo
7 kubernetes
7 nexus
7 node
7 plex
7 test1
7 testuser
8 appuser
8 bot
8 data
8 hive
8 rabbitmq
8 usuario
8 vagrant
9 amit
10 elasticsearch
10 observer
10 temp
11 apache
11 mongodb
11 rancher
11 tools
11 worker
11 zabbix
12 developer
12 flink
12 nvidia
12 ranger
12 svnuser
13 docker
13 elsearch
13 gpadmin
14 centos
14 test2
15 ubnt
15 user1
16 elastic
16 lighthouse
17 oscar
17 sonar
17 wang
18 tomcat
18 uftp
19 deploy
19 steam
21 nginx
22 dolphinscheduler
22 ftp
22 www
23 almacen
23 bounce
23 dev
23 lrendon
24 flask
24 pi
24 postgres
25 arthur
25 erpnext
25 esuser
25 gns3
25 guest
26 app
26 gitlab
26 halo
26 tom
27 deamon
27 k8s
28 hadoop
31 ftpuser
33 jenkins
35 es
45 test
49 jrodriguez
75 oracle
111 intel
163 admin
180 debian
221 user
280 ubuntu
FreeBSD(Vultr VPS)
5 RPM
5 aaa
5 c
5 cardano
5 cloud
5 cxc
5 dell
5 dudu
5 hosting
5 james
5 lighthouse
5 manager
5 mapr
5 minecraft
5 monitor-local
5 nagios
5 odoo
5 openproject
5 redis
5 udatabase
6 cd
6 customer
6 dbuser
6 elasticsearch
6 fil
6 haturatu
6 jenkins
6 john
6 latitude
6 nvidia
6 splunk
6 telecomadmin
7 a3user
7 cenagro
7 inspur
8 ansible
8 b
8 ethereum
8 noc
8 prueba
8 x
8 zabbix
9 ansadmin
9 ch
9 kafka
9 oneadmin
9 steam
10 sysadmin
10 vyos
11 jito
11 loginuser
11 postgres
11 watanabe
12 eyes4you
12 ftp
13 username
14 btclol
14 student
14 teste
15 craft
15 installer
15 max
15 sol
16 perl
16 polkadot
17 naveen
17 support
18 debian
19 dev
19 git
19 mysql
21 wqmarlduiqkmgs
25 ftpuser
25 nopainforcakes
27 guest
27 hadoop
27 solana
30 a
42 data
46 user1
47 blockchain
47 oracle
49 ubuntu
50 centos
50 sh
54 validator
57 NL5xUDpV2xRa
57 ubnt
59 node
86 soulminingrig
90 info
96 backup
173 pi
216 test
437 kanekoayano
442 admin
464 cultdeadcows
470 user
540 shamboozie
744 alleycatrace
815 damepo
結果與感想
可以看到許多嘗試針對中介軟體產品的執行使用者。
此外,針對區塊鏈節點的嘗試也相當多,這點令人感到相當不安。
話說回來,為什麼會特意針對11 watanabe這個日本姓氏「渡邊」來嘗試呢...?
是源自渡邊太太嗎?
順帶一提,FreeBSD 上排名靠前的 damepo 使用者,可能是因為這個 VPS 的 Nginx 正在監聽這個網域,所以他們也以此為基礎嘗試登入。
順帶一提,我環境中註冊的使用者大多是nologin使用者,可以執行 shell 的使用者(包括 root)大約只創建了 2~3 個。
由於 SSH 的 root 登入已設定為禁用,因此實際可以登入的使用者被限制在 1~2 個。
那麼,下次再見。
感謝您的閱讀。