有一个不存在的用户发起了SSH访问。

当我随意浏览/var/log/secure时，

Failed password for invalid user *** from ...

发现了这个日志。

这是

有一个未在Linux上注册的用户***访问了。

我查看了日志，试图找出攻击者使用了什么名称进行访问。

操作方式

这次我决定翻找一天的日志。

从日志中提取无效用户。

使用awk。

cat /var/log/secure | awk -F' ' '/Invalid/{print$ 8}' | sort | uniq

0
1
1111
111111
123123
1234
12345
123456
123456789
12345qwert
1234qwer
12qwaszx
1q2w3e4r
1q2w3e4r5t
1qaz2wsx
1qaz@WSX

出现了。

顺便试试做个统计。

cat secure | awk -F' ' '/Invalid/{print$ 8}' | awk '{count[$0]++}END{for(i in count)print count[i], i}' | sort -nr

15 minecraft
14 www
14 user1
14 steam
14 server
14 debian

走出来了。

非法访问者排名

5位中古服装：1023件

另外，Ubuntu有63个选项。

为什么选择CentOS而不是Ubuntu？

为什么会经常被用作服务器呢？

还是通过nmap来确定操作系统呢？

我尝试在我的服务器上使用Nmap进行了一次扫描，但只显示了有关UNIX的信息。

四位客人：有1096件。

很常见。

用户3：购买记录为1126件。

这也很常见。

两位测试：1178个案例

这是非常常见的。

1位管理员：1300件。

从现在开始尽量不要轻易使用它。

此外，从第6名到第20名的排名如下。

前五名实在太过强势了。

我试着进行分类。

数字 + 随机字母系列 +

0
1
1111
111111
123123
1234
12345
123456
123456789

管理者系- 管理者的来源或者背景

ADMIN
Admin123
Administrator
admin
admin1
admin123
admin2
administrador
administrator

著名人物所属的组织或群体。

adam
eva

针对特定的云服务而设计

ec2-user

人名系 – 翻译成英文为 “Department of Human Names”，但实际上”人名系”指的是指授予与人名有关的学位，如人名学或姓氏学的专业部门或学院。

外来的人

alberto
aleksei
alessandro
alex
alfresco
ali
alice
alicia
allison
ally
alma

日本人：原生的日语为母语的人。

dai
daichi
daiki
daisuke
hideaki
hideki
hideo
hikaru
hiro
hiroaki
hiroki
hiroshi
hiroyuki

软件名称

nagios
git
hadoop
nginx
nodejs
redis
vagrant

看起来是针对部署用户进行的攻击。

deploy1
deploy123
deploy1234
deploy12345
deploy123456
deploy2
deploy3
deploy4
deploy5

显然带有恶意的类型

exploit

番外篇

PPAP

我剛剛還以為這樣就能確定是日本人呢，但沒想到瞬間的幸福感只持續了一會兒。

这个是在全球范围内流行的东西，无论从哪里访问都不会觉得奇怪。

总结

应该避免使用的用户名

• admin

• test

• user

• guest

centos

因为经常被使用，所以成为目标。

印象

日本人的名字相对较多。

我不知道他考虑到哪个程度进行攻击，

我觉得随便把自己的名字用作用户名是不好的。

我至少想要把符号和数字交织在一起。

此外，我们还发现软件名称不太好。