Gostaria de começar com uma pesquisa na web: link
Em particular, este documento parece ter uma lista que parece ser pelo menos possível: link
Alguém mantém listas dos nomes de contas mais frequentemente adivinhados que são usados pelos atacantes ssh de forçagem bruta?
Para sua diversão, dos logs do meu servidor principal no último mês (43 313 tentativas ssh com falha), com root não chegando até sshd :
cas@txtproof:~$ grep -e sshd /var/log/auth* | awk ' { print $8 }' | sort | uniq -c | sort | tail -n 13
32 administrator
32 stephen
34 administration
34 sales
34 user
35 matt
35 postgres
38 mysql
42 oracle
44 guest
86 test
90 admin
Estes são os 10 melhores de lastb na minha caixa, há alguns meses:
[contact] => 25
[support] => 28
[info] => 35
[user] => 36
[mysql] => 43
[postgres] => 45
[guest] => 62
[test] => 104
[admin] => 106
[root] => 581
Suponho que você possa procurar em um banco de dados de scripts de exploração de sites de segurança e compilar uma lista, ou provavelmente derivá-los de seus próprios registros de dados e usar outro script para verificar periodicamente a existência de exceções para ver quando eles mudam, mas você pode reduzir sua superfície de ataque um pouco se você colocar o Denyhosts no sistema para bloquear o IP automaticamente após um conjunto de credenciais ruins (e bloquear automaticamente o que outros sites denyhost bloquearam periodicamente) e / ou colocar o sshd em outra porta e ter seus usuários autorizados mudam para essa porta (portas não padrão farão com que seus ataques automáticos caiam para praticamente nada).
Não sei se você está procurando esses nomes com um propósito definido ou se está interessado em reduzir suas tentativas de ataque de script ... Mas parece que você já está obtendo uma amostra de tamanho decente a partir da qual obtenha nomes de usuários de ataques com script.
Tags ssh syslog brute-force-attacks