Gostaria de começar com uma pesquisa na web: link
Em particular, este documento parece ter uma lista que parece ser pelo menos possível: link
Alguém mantém listas dos nomes de contas mais frequentemente adivinhados que são usados pelos atacantes ssh de forçagem bruta?
Para sua diversão, dos logs do meu servidor principal no último mês (43 313 tentativas ssh com falha), com root
não chegando até sshd
:
cas@txtproof:~$ grep -e sshd /var/log/auth* | awk ' { print $8 }' | sort | uniq -c | sort | tail -n 13 32 administrator 32 stephen 34 administration 34 sales 34 user 35 matt 35 postgres 38 mysql 42 oracle 44 guest 86 test 90 admin
Estes são os 10 melhores de lastb
na minha caixa, há alguns meses:
[contact] => 25
[support] => 28
[info] => 35
[user] => 36
[mysql] => 43
[postgres] => 45
[guest] => 62
[test] => 104
[admin] => 106
[root] => 581
Suponho que você possa procurar em um banco de dados de scripts de exploração de sites de segurança e compilar uma lista, ou provavelmente derivá-los de seus próprios registros de dados e usar outro script para verificar periodicamente a existência de exceções para ver quando eles mudam, mas você pode reduzir sua superfície de ataque um pouco se você colocar o Denyhosts no sistema para bloquear o IP automaticamente após um conjunto de credenciais ruins (e bloquear automaticamente o que outros sites denyhost bloquearam periodicamente) e / ou colocar o sshd em outra porta e ter seus usuários autorizados mudam para essa porta (portas não padrão farão com que seus ataques automáticos caiam para praticamente nada).
Não sei se você está procurando esses nomes com um propósito definido ou se está interessado em reduzir suas tentativas de ataque de script ... Mas parece que você já está obtendo uma amostra de tamanho decente a partir da qual obtenha nomes de usuários de ataques com script.
Tags ssh syslog brute-force-attacks