2011/04/29

Linuxサーバでは使用しない方が良いユーザアカウント

Linuxのコマンドに lastb というモノがあることを知った。
これはログイン時に失敗した記録を表示するコマンド。ちなみに last コマンドは成功したモノだけを表示するコマンド。

実体は /var/log/btmp というバイナリファイルで lastb コマンドからその中身を読み出している形です。ちなみにroot権限で作業してください。

で、そのコマンドを実行してみると…
公開なんてしていない適当に立てているサーバにもかかわらず1週間足らずで58000件もの不正アクセスをしようとした痕跡が…
これは気持ち悪い。

せっかくなので不正アクセスに用いられているアカウント名上位を公開。

# lastb | awk '{print $1}' | sort | uniq -c | sort -n -r | more
7940 root
1064 test
716 oracle
664 user
546 mysql
534 admin
524 michael
454 web
454 info
412 paul
390 sales
376 eric
364 adam
356 guest
354 alex
332 support
330 amanda
316 upload
296 server
294 backup
292 www
280 bill
274 linux
264 robert
264 patrick
258 webadmin
250 cyrus
246 sam
244 tomcat

Linuxだと確実に存在するrootが一番狙われるのが当然といえば当然で、上位にはuserなどありそうなアカウントが攻撃対象になっています。
それ以外にも面白いのがoraclemysqlなどのWebサーバを構成するアプリケーション名。データベースならそれを管理するアカウントがあっても不思議じゃないですしね…それにしてもoracleは狙われすぎ。

後は、michaelとかpaulとか人の名前にありそうなモノ。アメリカのサーバ管理者だとmichaelさんが多いのかな;-p

とにかく公開するサーバなどはこれまで以上にパスワード管理を厳重に。
コンピュータの性能が上がって便利になれば便利になるほど、不正アクセスなどの悪いことをしようとする人にとっても便利なっていくので難しいところですが…