Nomes de conta mais comuns usados em ataques de força bruta ssh

3

Alguém mantém listas dos nomes de contas mais frequentemente adivinhados que são usados pelos atacantes ssh de forçagem bruta?

Para sua diversão, dos logs do meu servidor principal no último mês (43 313 tentativas ssh com falha), com root não chegando até sshd :

cas@txtproof:~$ grep -e sshd /var/log/auth* | awk ' { print $8 }' | sort | uniq -c | sort | tail -n 13
     32 administrator
     32 stephen
     34 administration
     34 sales
     34 user
     35 matt
     35 postgres
     38 mysql
     42 oracle
     44 guest
     86 test
     90 admin
    
por Charles Stewart 06.04.2010 / 11:23

3 respostas

2

Gostaria de começar com uma pesquisa na web: link

Em particular, este documento parece ter uma lista que parece ser pelo menos possível: link

    
por 06.04.2010 / 11:59
3

Estes são os 10 melhores de lastb na minha caixa, há alguns meses:

[contact] => 25
[support] => 28
[info] => 35
[user] => 36
[mysql] => 43
[postgres] => 45
[guest] => 62
[test] => 104
[admin] => 106
[root] => 581
    
por 06.04.2010 / 14:40
1

Suponho que você possa procurar em um banco de dados de scripts de exploração de sites de segurança e compilar uma lista, ou provavelmente derivá-los de seus próprios registros de dados e usar outro script para verificar periodicamente a existência de exceções para ver quando eles mudam, mas você pode reduzir sua superfície de ataque um pouco se você colocar o Denyhosts no sistema para bloquear o IP automaticamente após um conjunto de credenciais ruins (e bloquear automaticamente o que outros sites denyhost bloquearam periodicamente) e / ou colocar o sshd em outra porta e ter seus usuários autorizados mudam para essa porta (portas não padrão farão com que seus ataques automáticos caiam para praticamente nada).

Não sei se você está procurando esses nomes com um propósito definido ou se está interessado em reduzir suas tentativas de ataque de script ... Mas parece que você já está obtendo uma amostra de tamanho decente a partir da qual obtenha nomes de usuários de ataques com script.

    
por 06.04.2010 / 12:01