ブルートフォースアタックで試されやすいユーザID

ブルートフォースアタックで試されやすいユーザIDこのブログ他いくつかのサイトを稼動させているTOOR.JPですが、個人運営のちっぽけなサーバとは言えグローバルIPを持つれっきとしたサーバマシンです。当然、どこからかIPアドレスを知った輩がアタックしてくるんですねー。

今はがっつりIPレベルでのフィルタリングその他を施しているので、大概のアタックは弾いています。しかしそのログが結構膨大で^^;;

ちょっとしたスクリプトを書いてアタック元アドレスを集計しフィルタリストを更新しているんですが、ふと好奇心からアタック元アドレスと「ブルートフォースアタック」に使われたユーザIDを集計してみることにしました。

集計したログ期間は2009/02/06 01:00:00から2009/02/10 18:59:59。ほぼ丸5日間ですね。
詳しくは続きに。


まずはアタック元のIPアドレス。
回数は単純にログの行数です。

 

1位:72.55.137.153 6800回
逆引: ip-72-55-137-153.static.privatedns.com
Whois

iWeb Technologies Inc. IWEB-BLK-03 (NET-72-55-128-0-1)
                                  72.55.128.0 – 72.55.191.255
iWeb Dedicated CL IWEB-CL-T021-01SH (NET-72-55-137-128-1)
                                  72.55.137.128 – 72.55.137.159
 

 

2位:146.82.88.205 4415回
逆引:なし
Whois

OrgName:    Global Crossing
Address:    14605 South 50th Street
City:       Phoenix
StateProv:  AZ
PostalCode: 85044-6471
Country:    US 


NetRange:   146.82.0.0 – 146.82.255.255
CIDR:       146.82.0.0/16
NameServer: NAME.ROC.GBLX.NET
NameServer: NAME.PHX.GBLX.NET
NameServer: NAME.JFK1.GBLX.NET
NameServer: NAME.SNV.GBLX.NET
RegDate:    1997-05-20
Updated:    2003-02-25

 

3位:216.45.55.84  4339回
逆引:なし
Whois

OC3 Networks & Web Solutions, LLC OC3-NETWORKS (NET-216-45-48-0-1)
                                  216.45.48.0 – 216.45.63.255
PacificRack.com PACIFIC-RACK (NET-216-45-55-0-1)
                                  216.45.55.0 – 216.45.55.255

 

4位:83.15.118.190 4153回
逆引:misio.probit.pl.
Whois

OrgName:    RIPE Network Coordination Centre
Address:    P.O. Box 10096
City:       Amsterdam
PostalCode: 1001EB
Country:    NL 

NetRange:   83.0.0.0 – 83.255.255.255
CIDR:       83.0.0.0/8
NameServer: NS-PRI.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: SUNIC.SUNET.SE
NameServer: TINNIE.ARIN.NET
NameServer: NS3.NIC.FR
RegDate:    2003-11-17
Updated:    2004-03-16

inetnum:        83.15.118.184 – 83.15.118.191
descr:          KOSZALIN
descr:          POLAND
country:        PL

address:        TP S.A.
address:        ul. Nowogrodzka 47A
address:        00-695 Warszawa
address:        Poland
phone:          +48 22 6225182
fax-no:         +48 22 6225182
remarks:        ! – ! – ! – ! – ! – ! – ! – ! – ! – ! – !
remarks:        Please send spam and abuse notification only
remarks:        to abuse@telekomunikacja.pl
remarks:        phone: +48 22 8871788
remarks:        ! – ! – ! – ! – ! – ! – ! – ! – ! – ! – !
abuse-mailbox:  abuse@telekomunikacja.pl

% Information related to ‘83.0.0.0/11AS5617’
route:        83.0.0.0/11
descr:        for abuse: abuse@tpnet.pl

% Information related to ‘83.8.0.0/13AS5617’
route:          83.8.0.0/13
descr:          for abuse: abuse@tpnet.pl

 

5位:89.105.199.64 1400回
逆引:なし
Whois

OrgName:    RIPE Network Coordination Centre
Address:    P.O. Box 10096
City:       Amsterdam
PostalCode: 1001EB
Country:    NL 

NetRange:   89.0.0.0 – 89.255.255.255
CIDR:       89.0.0.0/8
NameServer: NS-PRI.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: SUNIC.SUNET.SE
NameServer: TINNIE.ARIN.NET
NameServer: NS.LACNIC.NET
RegDate:    2005-06-30
Updated:    2005-07-22

% Information related to ‘89.105.199.0 – 89.105.199.255’
inetnum:        89.105.199.0 – 89.105.199.255
netname:        NLISPELIVELDNETWORKS07
descr:          Eliveld Networks B.V.
country:        NL

role:           ISP-Services BV Role Account
address:        ISP Services BV
address:        Gildenbroederslaan 1
address:        Doetinchem
address:        The Netherlands
phone:          +31 314 399900
fax-no:         +31 314 399910
abuse-mailbox:  abuse@isp-services.nl

 

6位:83.17.207.130 1087回
逆引

optel.opole.pl.
nitex-opole.com.pl
rako.net.pl.
polonika.opole.pl.
aforystykon.pl.
jenczek.com.pl.
fx.faxon.opole.pl.
faxon.opole.pl.
medrem.com.pl.

Whois

OrgName:    RIPE Network Coordination Centre
Address:    P.O. Box 10096
City:       Amsterdam
PostalCode: 1001EB
Country:    NL 

NetRange:   83.0.0.0 – 83.255.255.255
CIDR:       83.0.0.0/8
NameServer: NS-PRI.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: SUNIC.SUNET.SE
NameServer: TINNIE.ARIN.NET
NameServer: NS3.NIC.FR
RegDate:    2003-11-17
Updated:    2004-03-16

% Information related to ‘83.17.207.128 – 83.17.207.135’
inetnum:        83.17.207.128 – 83.17.207.135
netname:        CUSTOMER-IDSL-047473
descr:          POLAND
country:        PL

address:        TP S.A.
address:        ul. Nowogrodzka 47A
address:        00-695 Warszawa
address:        Poland
phone:          +48 22 6225182
fax-no:         +48 22 6225182
remarks:        ! – ! – ! – ! – ! – ! – ! – ! – ! – ! – !
remarks:        Please send spam and abuse notification only
remarks:        to abuse@telekomunikacja.pl
remarks:        phone: +48 22 8871788
remarks:        ! – ! – ! – ! – ! – ! – ! – ! – ! – ! – !
abuse-mailbox:  abuse@telekomunikacja.pl

% Information related to ‘83.0.0.0/11AS5617’
route:        83.0.0.0/11
descr:        for abuse: abuse@tpnet.pl

% Information related to ‘83.16.0.0/13AS5617’
route:          83.16.0.0/13
descr:          for abuse: abuse@tpnet.pl

 

ポーランドとかニュージーランドとかですねぇ。
まぁ実は既に中国・韓国・フィリピン等、「危ない」国に割り当てられているIPアドレスはブロック単位でREJECTしてるので、あまり無いんですよね。

 

さて、ここからが本題(前振り長っ)。
実際にSSHでログインを試みてきたユーザIDを集計しました。全て書き出すと5400個ほどあるので、回数の多かったものを抜粋してみます。ちなみにこの回数はログに残っていた期間でたまたまこういう数字になっただけであって、回数と危険度が必ずしも比例しているわけではないことをご了承下さい。

 

847回 root
254回 postgres
170回 nagios
168回 test
136回 prueva
124回 condor
112回 prueba
94回 testing guest
90回 user info
74回 admin
72回 oracle
66回 tester administrator
60回 webmaster

50~59回

alex tomcat student apache web mail 

40~49回

backup sales mike www-data internet cvs temp john 

30~39回

username michael ftp webadmin spam nicole httpd alan adam test2 server master david ben amanda users postmaster james demo students paul matt jim forum danny contact brian bill 

20~29回

x webuser support public maria ftptest ftpguest chris barbara asterisk angela www simon sam nick mailman info2 ftpuser ellen dan craig bob angel adrian admin2 user123 user1 test123 steve sharon sales1 ronald richard oracle123 office news nancy mario jimmy info123 info1 bryan ann alberto nobody test12 test1 temp1 service operator mary joanne francis eric dovecot bruce brad arun april anthony adm account shell sean robert patrick mysql lisa kelly globus brett arnold andrew andrea allan 

10~19回

wwwrun toor thomas testuser test02 student1 ssh postfix media linux library jan george gast ftp123 cyrus connie carlos angelo amie daemon victor users2 users1 users02 stephen stephanie samba sales123 philip oracle1 nagios1 munin moomps martha margaret marco lukas isabelle http hacker clinton clint christine charles apple anna alin alice alfred albert admin123 admin1 clamav www2 www1 www01 www-data1 www-data01 white webmaster1 webmaster01 user2 user02 user01 tomcat2 tomcat1 tomcat02 tomcat01 test01 temp01 student2 student02 student01 steven shop service1 service01 server2 server1 server02 server01 sarah sandra sales2 sales01 russ postmaster1 postmaster01 postgres1 postgres02 postgres01 oracle01 office1 nobody1 nobody01 nagios2 nagios02 nagios01 monica master1 kayla joshua jerry jack info02 info01 guest1 guest01 ftpuser2 ftpuser01 ftptest1 ftptest01 ftpguest1 ftpguest01 ftp01 fred filip dexter demo2 demo1 demo02 demo01 cyrus2 cyrus1 cyrus02 cyrus01 contact01 clark claire cesar black backup2 backup1 backup02 backup01 asterisk1 apache1 apache01 andre alexander alex2 alex1 alex02 alex01 administrator1 admin02 admin01 abby webster viper valerie unix tiffany theresa tamara sync steam shaun rex resin office01 nina nathan mikael max marvin marie marcy lp leslie julie hack grace games ftpuser1 ftp1 frank forum1 flower drive data dana cycle contact1 ashley arthur aron anita andrei andreea alyson administrator01 abbey aaron word willie webpop uucp tony tom tasha tara sylvia sybase suva snoopy silver sara samuel sammy purple play pgsql peter pete penelope paintball1 orange nicki netdump merlin marlon mark marcus madison love linda kim keith kay katie judith joanna jeffrey jeff irc ident ian help harry harris harold harley graham gary friends fluffy elena edgar eddie ed duncan doctor debbie daniela daniel cynthia cpanel cora carl bret bobby bash austin angie alvin alexandra admins 

 

やはり最も多かったのがrootですね。続いてpostgres,nagiosと、サーバであれば大抵動いているであろうシステムのユーザが続きます。しかし prueva とか condor とか prueba 等、一見意味がわからない単語でも試しているようですから油断は禁物です。

 

  • 使わないユーザは削除
  • きちんとした(安直なものや簡単に推測できそうなものではない)パスワードを設定
  • 実効ユーザ用のアカウントはログイン不可
  • rootで直にリモートログインすること自体を禁止(一般ユーザでログインした後にsu/sudoする)
 

等、一見地味だったり面倒だったりすることではありますが、これらを徹底することでブルートフォースアタックへの耐性は高まるでしょう。もちろんこれで完璧、というわけではありませんが、打てる手は打っておいて損はないはずですよね^^)b

 

  1. もういやだ・・・w
    サーバとか踏み入れてはいけないところに踏み行ったですwww

    参考にします!ありがとう;;

  1. トラックバック 0

return top