さくらのVPSに来る悪い人を観察する その2 を見て「マジか!」と驚き。
ふと気になったので、自分が借りて放置しているさくらのVPSへSSHログインに失敗した人らを数えてみた。
ログの期間は 2013/12/08 14時ぐらい 〜 2014/01/06 23時ぐらい。logrotateの設定上、約1ヶ月分しかログが残ってなかったデス。
唯一ログインできるアカウント(のはず)でログインしてみたら、最終ログイン時間は以下だった。放置しすぎィ!!
Last login: Sat Aug 10 00:11:38 2013 from .....
ログインに失敗したアカウントをランキングっぽく。
# perl -nE 'say $1 if /Invalid user (.*?) from/' /var/log/secure* | sort | uniq -c | sort -r -k 1
45 admin
20 test
19 oracle
11 web
11 postgres
8 www
8 openerp
7 marine
6 nagios
6 git
6 auto
5 user
5 a
4 xbian
4 ubnt
4 suzuki
4 sato
4 public
4 owkwon
4 D-Link
3 yuto
3 yuma
3 yamato
3 yamamoto
3 watanabe
3 tanaka
3 takahashi
3 sota
3 sora
3 shota
3 sho
3 satou
3 ren
3 plesk
3 nakamura
3 leonob
3 kobayashi
3 kiyoshi
3 john
3 hiroto
3 haruto
3 guest
3 ftpuser
3 deploy
3 apache
2 zxin10
2 x
2 webmaster
2 tomcat
2 sys
2 staff
2 share
2 sales
2 saitou
2 recruit
2 pt
2 mlmb
2 minecraft
2 globus
2 funakoshi
2 download
2 condor
2 cai
2 cady
2 cadi
2 bot
2 app
2 alias
1 zxiptv
1 zvfx
1 zeppelin
1 zabbix
1 z
1 yamaguchi
1 y
1 xl
1 walter
1 w
1 vv
1 video
1 venice
1 vasile
1 uu
1 user3
1 usd
1 uptime
1 ubuntu
1 tt
1 tomoka
1 thomas
1 thebeast
1 testuser
1 teste
1 test1
1 terraria
1 tekkit
1 t1na
1 sybase
1 student
1 steve
1 stephen
1 stat
1 start
1 ss
1 space
1 sorinel
1 sorin
1 sori
1 slap
1 silence
1 shit
1 shell
1 sgi
1 scp
1 scan
1 sasha
1 samson
1 sa
1 ryan
1 roundcube
1 rootkit
1 ronald
1 ron
1 roberto
1 rob
1 redmine
1 redis
1 redadmin
1 puscarie
1 proxy
1 php
1 pentium4
1 pentium3
1 pentium2
1 pentium1
1 os10+ZTE
1 o
1 nuno
1 notice
1 nginx
1 n
1 mysql
1 mwe
1 mongodb
1 mona
1 miner
1 mine
1 master
1 mark
1 m
1 luciana
1 ls
1 leo
1 laurentiu
1 laura
1 laf
1 l
1 kk
1 kiosk
1 kim
1 kernel
1 kelly
1 kateryna
1 kamui
1 joao
1 jj
1 jenkins
1 jefferson
1 jallen
1 installer
1 install
1 informix
1 ii
1 icinga
1 hiq
1 hh
1 helen
1 hayashi
1 gwen
1 grant
1 goto
1 goctech
1 globe
1 global
1 gitolite
1 fujikawa
1 ftpadmin
1 fluffy
1 fedoracore
1 fedora
1 fbi
1 fata
1 estoque
1 esteban
1 ellen
1 elaine
1 deployer
1 dennis
1 de
1 db2inst1
1 david
1 daniela
1 daniel
1 d
1 css
1 cqtbemj
1 couchdb
1 cord
1 conneqt
1 clovis
1 client
1 charley
1 cezar
1 cesar
1 cecilia
1 carolina
1 carlos
1 carla
1 camila
1 cailin
1 caesar
1 c
1 brenda
1 bogus
1 bluebary
1 ben
1 beast
1 be
1 bart
1 baiat
1 b
1 ayaka
1 art
1 archive1
1 archive
1 ar
1 andrew
1 andreea
1 andre
1 ana
1 amos
1 alissa
1 alin
1 alexis
1 alexandru
1 alex
1 alaina
1 airtrix
1 agraves
1 adela
1 acer
1 accept
1 abdul
1 abcs
1 \0034\002error!\002\003
1 PlcmSpIp結構いっぱい!
続いて回数。
# perl -nE 'say $1 if /Invalid user (.*?) from/' /var/log/secure* | wc -l 494 # grep 'Too many authentication failures for root' /var/log/secure* | wc -l 216
ざっとみるとrootが216回で他が494回。思っていたより多い。
なんかrootは「Too many authentication failures for root」になってしまうみたい。多分SSHの設定のせいだと思います。
時間的な統計も取ったほうがよさそうだけど、めんどくさくなっちゃったので・・・
また、こんなこと もやっているので、60秒以内に5回ログインに失敗した回数と人数もだいたいわかります。こちらも直近の約1ヶ月です。
# grep '\[Attack\]:' /var/log/messages* | wc -l 179 # # IPが重複するものを除外(ほぼ攻撃者の人数) # grep '\[Attack\]:' /var/log/messages* | perl -nE 'say $1 if /SRC=([\d\.]+)/' | sort | uniq | wc -l 62
当初は「SSHは狙われるだろうけど別に公開してないし、そんな神経質に制限かけんでも・・・」とか思っていたけども、結構ひっかかっててびっくり。
さくらインターネットのVPSに割り当てられてるIPレンジ内のIPを総当りでやってたりするんかなー
