Voici la liste des identifiants déconseillés pour décembre. Comme ce sont les identifiants utilisés pour tenter d’entrer sur mes serveurs, il est déconseillé de les utiliser sur les votre, sinon vous allez faciliter la tâche aux pirates.

Vous les avez désormais classés par nombre de tentatives.

    Le contenu suivant est généré à partir des fichiers de logs des ordinateurs
    surveillés et permet de consulter les statistiques d'attaques par force
    brute sur ces ordinateurs.
    La liste des identifiants utilisés permet à l'administrateur intelligent
    de ne pas autoriser ces identifiants sur ses serveurs afin de diminuer
    les risques d'attaque.
    Les protocoles surveillés sont ssh et ftp, si ces services sont activés.

    Si votre adresse IP FIXE apparait dans cette liste, vous devriez vérifier
    que votre ordinateur est sain! Si c'est une IP dynamique, elle risque
    d'être déjà blacklistée sur tous mes serveurs et vous devriez en changer...
    Les valeurs représentent la limite basse, les adresses incriminées étant
    blacklistées pour plusieurs mois après un certain nombre d'essais
    infructueux celles ci n'apparaissent plus dans les statistiques.

******************************************************************
       Classement des logins et des adresses utilisés
                 pour le mois de Dec 2009
            pour des tentatives de connexion
         sur les serveurs de la société Absolacom
******************************************************************
******************************************************************
Classement des logins utilisés (77):
******************************************************************
root			126
admin			27
Administrator	        12
staff			11
sales			10
nagios			7
administrator	        7
guest			6
plcmspip		5
postgres		5
ace		        4
recruit			4
office			3
PlcmSpIp		3
mlmb			3
test			3
delta			3
alias			3
test1			2
fluffy			2
administrador	        2
abcs			2
t1na			2
samba			2
daemon			2
account			2
anonymous		2
a		    	2
db2inst1		2
alexis			2
virtuoso		1
demo			1
slim			1
accounts		1
abel			1
ghost			1
agnieszka		1
agarcia			1
dasusr1			1
www-data		1
administration	        1
mysql			1
kent			1
access			1
codec			1
upload			1
agi		    	1
rob		    	1
eff		    	1
slasher			1
hdexperience	        1
advantage		1
ftp			1
nobody			1
vmail			1
eminem			1
administracion	        1
user			1
adnan			1
c		    	1
b		    	1
acd05			1
d		        1
tomcat			1
sifak			1
patrick			1
adriano			1
accounts1		1
ibiza			1
publica			1
admon			1
r00t			1
adrian			1
lpd			1
adminftp		1
lpa			1
agnes			1

Le top 10 est classique avec cependant un net recul de PlcmSpIp et www-data au profit de guest et ace. A noter, de plus en plus de prénoms francophones. Linux se démocratiserait il en France?

Dans le fichier complet, vous trouverez aussi le classement par heure des attaques, ainsi que la liste des adresses et ports utilisés. Il serait intéressant de dresser une carte de l’origine des attaques, par exemple avec geotool, mais je ne sais pas encore comment faire ça automatiquement ou sans saturer le serveur. Si vous avez des idées, je suis preneur (surtout si c’est du python).

Une précision sur le fait qu’il peut sembler y avoir relativement peu de tentatives (77 ce mois ci): une adresse IP blacklistée sur l’un de mes serveurs se retrouve blacklistée sur l’ensemble de mes serveurs au maximum dans l’heure qui suit. Ça m’a permis de passer en un an d’environ 800 tentatives illégales de login à moins de 100 tentées par mois. De quoi simplifier la vie des firewalls.

******************************************************************
Nombre de tentatives par plage horaire:
******************************************************************
0-1
1-2
2-3
3-4
4-5
5-6
6-7
7-8
8-9
9-10
10-11	################### (19)
11-12	########### (11)
12-13	####### (7)
13-14	### (3)
14-15	######### (9)
15-16	######### (9)
16-17	###################### (22)
17-18	############## (14)
18-19	#################### (20)
19-20	##################### (21)
20-21	################################ (32)
21-22	########### (11)
22-23	############# (13)
23-24	##### (5)

Il est intéressant de remarquer que les attaques se font surtout en fin de journée mais, nouveauté de décembre, alors qu’habituellement le pic se situe entre 18 et 20 heures, ce mois ci il est entre 20 et 21 heures. Effet vacances? Nous verrons en janvier si la tendance se confirme.

C’est vrai qu’il reste encore quelques heures pour finir décembre, mais une bonne partie des serveurs va s’arrêter ce soir pour n’être réactivés qu’à la rentrée. Donc, ces statistiques ne sont pas véritablement complètes mais le peu qu’il manque ne serait de toute façon pas représentatif.

Sur ce, je vous souhaite une bonne année 2010 et m’en vais préparer mon réveillon!

Articles en relation:

• Identifiants déconseillés de janvier
• Identifiants déconseillés de Février
• Identifiants déconseillés
• Recevoir les logs par mail
• Identifiants déconseillés de Novembre