「レンタルサーバーをさくらVPSに乗り換えてみました 」から、4ヶ月ほどさくらVPSのサーバー（CentOS5.6）を利用しているんですが、アタックの数がすごい・・・。

で、サーバーでよく利用されているパスワード一覧とかって話題になってたりするので、不正なアタックをする際に利用されているユーザーってどんなもんがあるかを調べてみることに。

以下、4ヶ月間でSSHによる不正ログインを試みたときに利用された上位30のユーザー一覧。

134187 root
 35070 admin
 19524 test
 13251 oracle
 12382 user
 10441 backup
  8593 web
  8288 mysql
  7986 amanda
  7436 robert
  7108 info
  7056 paul
  6918 guest
  6823 eric
  6617 michael
  6579 download
  6536 adam
  6480 student
  6384 martin
  6268 patrick
  6241 matt
  5905 sales
  5435 sarah
  5196 www
  5125 alberto
  4988 upload
  4817 master
  4680 cyrus
  4669 sam
  4116 bruce

左側の数値は不正アタック数。

rootだけで10万回超えている・・・。

oracleとかmysqlユーザーとか、ソフトウェアをインストールする際に作る必要があるよく知られたユーザーというのは、危険かもしれませんね。

あと、テスト的に作ったユーザーと思われるtestとか、Web関連（webとかwwwとか）のユーザーもよく利用されているようです。

今回集計を取ったユーザーの元データは、/var/log/btmpのデータです。

これ自体はバイナリファイルなのでそのままでは見れないので、専用コマンドのlastbを使います。

# lastb
____     ssh:notty    mail.sozwezdie.c Tue May 17 23:52 - 23:52  (00:00)
bugs     ssh:notty    www2266ua.sakura Tue May 17 23:16 - 23:16  (00:00)
warren   ssh:notty    www2266ua.sakura Tue May 17 23:16 - 23:16  (00:00)
trudi    ssh:notty    www2266ua.sakura Tue May 17 23:16 - 23:16  (00:00)
tonel    ssh:notty    www2266ua.sakura Tue May 17 23:16 - 23:16  (00:00)
therese  ssh:notty    www2266ua.sakura Tue May 17 23:16 - 23:16  (00:00)

このデータを元に、下記のようなワンライナーで不正なアタックをしたユーザー一覧を集計します。

# lastb | awk '{print $1}' | sort | uniq -c | sort -nr | head -30

余談ですが、似たコマンドとしてlastがありますが、こちらは最近ログインしたユーザーを出すものです。

lastコマンドが参照しているのは、/var/log/wtmpファイル。

何れにせよほっとくとかなり大量のログが溜め込まれるのでローテーションを仕込んどいた方が無難かもしれません。

4ヶ月間ほっといたらbtmpファイルは800MBほどに膨れ上がってましたから・・・。

って、ことでとりあえずSSHはパスワード認証使わずに公開鍵認証を使うように設定を変更しました。