是否有人维护攻击者强制使用 ssh 的最常猜测的帐户名列表?
为了让您开心,从我主服务器上个月的日志来看(43 313 次失败的 ssh 尝试),没有root达到以下程度sshd:
cas@txtproof:~$ grep -e sshd /var/log/auth* | awk ' { print $8 }' | sort | uniq -c | sort | tail -n 13
32 管理员
三十二 斯蒂芬
34 行政
34 销量
34 用户
三十五 马特
35 邮政
三十八 mysql
四十二 神谕
44 客人
86 测试
90 管理员
答案1
我会先进行网络搜索: http://google.com/?q=common+usernames+used+in+ssh+attacks
特别值得注意的是,这份文档似乎有一个至少看似可能的列表: http://people.clarkson.edu/~jmatthew/publications/leet08.pdf
答案2
lastb以下是几个月前我的盒子里的十大内容:
[contact] => 25
[support] => 28
[info] => 35
[user] => 36
[mysql] => 43
[postgres] => 45
[guest] => 62
[test] => 104
[admin] => 106
[root] => 581
答案3
我想您可以查看来自安全站点的漏洞脚本数据库并编制列表,或者您可以从自己的数据日志中获取它们并使用另一个脚本定期检查异常值以查看它们何时发生变化,但如果您将 Denyhosts 放在系统上,在一组错误凭据后自动阻止 IP(并自动阻止其他 Denyhost 站点定期阻止的内容)和/或将 sshd 放在另一个端口上并让您的授权用户转移到该端口(非标准端口将使您的自动攻击几乎降至零),您可能会稍微减少攻击面。
不知道您是否出于既定目的寻找这些名称,或者是否有兴趣减少脚本攻击尝试......但听起来您已经获得了一个相当大的样本,可以从中获取脚本攻击的用户名。