tosihisa's public notebook

ユーザ用ツール

サイト用ツール

現在位置: start » sshサーバへの不正アクセスユーザ名の傾向と対策(2015年11月)
トレース:
sshd_invaliduser_201511

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン前のリビジョン
次のリビジョン		前のリビジョン
sshd_invaliduser_201511 [2015-11-14 15:08] tosihisa@netfort.gr.jpsshd_invaliduser_201511 [2017-03-19 13:40] (現在) – 状態が変更されました tosihisa@netfort.gr.jp
行 12: 行 12:
 </code> </code>
  
-2464種類のユーザー名でsshdへアクセスを仕掛けてきている.+2464種類のユーザー名でsshdへアクセスを仕掛けてきているようだ
  
 ===== sshdへの不正アクセスユーザ名上位20位 ===== ===== sshdへの不正アクセスユーザ名上位20位 =====
 +
 +「sshd への不正アクセス」は,当初は上記と同じ方法で調べたが,その場合は root 等の様な存在するユーザ名に対しての情報は得られなかったので,「パスワード認証に失敗したユーザ」として調べる.上記の何種類のユーザ名かの調べ方とは少し異なるので注意.
  
 <code> <code>
-$ cat *.log | grep sshd | grep "Invalid user" | awk '{print $8;}' | sort | uniq -c | sort -nr | head -20 +$ cat *.log | grep sshd | grep "Failed password for | sed -e 's/ invalid user / /' | awk '{print $9;}' | more | sort | uniq -c | sort -nr | head -20 
- 373 admin + 485 root 
- 183 oracle + 150 admin 
- 176 ubnt + 106 ubnt 
- 147 test +  47 test 
- 121 teamspeak +  28 user 
- 112 git +  26 support 
-  98 minecraft +  20 pi 
-  92 teamspeak3 +  18 wordpress 
-  90 ftp +  13 oracle 
-  82 nagios +  11 guest 
-  81 user +  11 aaron 
-  70 deploy +  11 a 
-  62 jenkins +   8 nmis 
-  61 support +   7 agsadmin 
-  58 wordpress +   6 ftpuser 
-  58 hadoop +   6 D-Link 
-  56 pi +   5 vagrant 
-  55 guest +   5 cisco 
-  55 demo +   5 PlcmSpIp 
-  54 ts+   4 postgres
 </code> </code>
  
行 43: 行 45:
  
 ^順位^sshd不正アクセスユーザ名^件数^ ^順位^sshd不正アクセスユーザ名^件数^
-|1|admin|373+|1|root|485
-|2|oracle|183+|2|admin|150
-|3|ubnt|176+|3|ubnt|106
-|4|test|147+|4|test|47
-|5|teamspeak|121+|5|user|28
-|6|git|112+|6|support|26
-|7|minecraft|98+|7|pi|20
-|8|teamspeak3|92+|8|wordpress|18
-|9|ftp|90+|9|oracle|13
-|10|nagios|82+|10|guest|11
-|11|user|81+|11|aaron|11
-|12|deploy|70+|12|a|11
-|13|jenkins|62+|13|nmis|8
-|14|support|61+|14|agsadmin|7
-|15|wordpress|58+|15|ftpuser|6
-|16|hadoop|58+|16|D-Link|6
-|17|pi|56+|17|vagrant|5
-|18|guest|55+|18|cisco|5
-|19|demo|55+|19|PlcmSpIp|5
-|20|ts|54+|20|postgres|4
-|-|合計|2084|+ 
 +root は UNIX系OSの管理者アカウント名で,数としてはダントツといえる.
  
 admin ユーザ,いわゆる管理者ユーザ名として "admin" と言う名称を用いるのは想像に難しくない. admin ユーザ,いわゆる管理者ユーザ名として "admin" と言う名称を用いるのは想像に難しくない.
行 69: 行 72:
 興味深い点としては,第3位の "ubnt" ユーザ名である. 興味深い点としては,第3位の "ubnt" ユーザ名である.
  
-私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが,"ubnt ssh serverで検索すると,どうも異なるようだ.+私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが,ubnt ssh server” で検索すると,どうも異なるようだ. 
 + 
 +7位にあるユーザ名 "pi" は,Raspberry pi 向け Linux ディストリビューションの一つである Raspbian の標準ユーザ名が "pi" であり,それが狙われていると思える. 
 +Raspbian の "pi" ユーザ名は,標準のパスワードは "raspberry" なので,特に何もケアせずに Raspberry pi で Raspbian イメージを動かしてインターネットから見える所に置くと,即不正アクセスされるだろう. 
 + 
 +"D-Link" や "cisco" はネットワーク機器への進入を試みようとしていると思える. 
 + 
 +19位の "PlcmSpIp" は,何のユーザ名なのかは分からなかったが,どうも Polycom 製品で使われているユーザ名のようだ. 
 + 
 +====== 対策 ====== 
 + 
 +まず,当然のこととして,インターネットから見える所で sshd を動かしているならば,sshd への認証は公開鍵暗号方式のみとするのが良いだろう. 
 + 
 +とは言うものの,公開鍵がない場合のバックアップ手段としてパスワード認証を使いたい場合や,私のようにズボラな人間(!!)がパスワード認証を使いたい場合がある. 
 + 
 +その様な場合は,あまり安直なユーザ名を用いないほうが良いだろう. 
 + 
 +root は,とにかくリモートからの ssh は出来ないようにしておいたほうが良い. 
 + 
 +ソフト名をユーザ名にするのは,そのソフトの標準の設定もあるかも知れないが,変更可能ならば変更しておいたほうが良いだろう. 
 + 
 +また,昨今は Raspberry pi の様な小型 Linux-BOX を IoT 機器として運用するケースもある.その様な場合は,ディストリビューション標準のユーザ名は基本的に使わないほうが良いだろうし,いっそ,そのユーザ名は削除したほうが良いかもしれない. 
 + 
 +ネットワーク機器は,標準出荷時設定のユーザ名のまま使うのは避けたほうが良いだろう
  
-他,目立つもとしては,"oracle","teamspeak","git","minecraft","wordpress" と言うようにソフの名前がのままユーザ名として扱われている.+「サーバが狙われる」なくIoT機器でも何でもssh でリモーログインできうな機械は,なんでも狙われると考えたほうが良いだろう
  
-これも,これらのサーバを稼働させる時に,非rootで稼働させたいが,良いユーザ名が思いつかない時に,安易にソフト名をユーザ名にするのは想像に難しくないので,そのようなユーザ名が狙われているのだろう. 
-あるいは,何らかの設定テンプレートにあるユーザ名をそのまま使っているのかも知れない. 
  
-17位にあるユーザ名 "pi" は,Raspberry pi 向け Linux ディストリビューションの一つである Raspbian の標準ユーザ名が "pi" であり,それが狙われていると思える. +~~DISCUSSION:off~~
-Raspbian の "pi" ユーザ名は,標準のパスワードは "raspberry" なので,特に何もケアせずに Raspberry pi に Raspbian イメージを動かしてインターネットから見える所に置くと,即不正アクセスされるだろう.+
  
sshd_invaliduser_201511.1447513684.txt.gz · 最終更新: 2015-11-14 15:08 by tosihisa@netfort.gr.jp