Ich hab mir sagen lassen das TOP 10 Listen im Moment der heiße Scheiß sind. Also will ich mich nicht Lumpen lassen und erstell auch mal so eine Liste. Heute: Die TOP 10 der meist benutzten Benutzernamen

Wer SSH auf einem Server laufen lässt wird früher oder später auch mal "Opfer" einer Brute-Force-Attacke. Dem kann man nicht entgehen, ist halt so. Um ein wenig Ruhe zu haben verbiegen einige Leute den SSH Port (22) oder lassen Klassiker wie Fail2Ban laufen. Letzteres mache ich und bin bisher immer damit gut gefahren. Es hält ziemlich gut lästige Angriffsversuche ab und blockiert weitere für eine bestimmte Zeit. Irgendwann habe ich mich mal gefragt woher die Angriffe kommen (meistens aus China oder Russland) und welcher Benutzername verwendet wird.

Das lässt sich mit ein bisschen Shellmagie leicht rausfinden. Der Befehl unten sucht nach dem Pattern "Failed password for", sortiert und zählt ein bisschen rum und spuckt das Ergebnis schön übersichtlich aus (Hier die Version für Debian. Ggf. musst Du das bei dir in secure.log ändern).

awk '/Failed password for/ ' /var/log/auth.log | sed 's/.* \([[:print:]]\+\) from .*/ \1 /g ' | sort | uniq -c | sort -n -k1

Logrotate dreht bei mir alle 7 Tage die Logfiles auf Links, daher kommen jetzt hier die Top 10 der meistbenutzen Usernamen


Platz Wie oft gezählt Benutzername
10 131jboss
9 146postgres
8 149oracle
7 151ftpuser
6 156test
5 163user
4 169ubuntu
31135pi
21364admin
12565root

Okay, ich hätte jetzt nicht damit gerechnet das mein kleiner Server so unter Dauerfeuer steht. Ich möchte mir dann wahrlich nicht ausmalen was bei großen Hostern los ist o,O