プロが教える、FTPの使ってはいけないユーザー名 9選

■このようなユーザー名を使わないようにしましょう

早速ですが、結論から先に書いておきます。

FTPサーバーに以下のユーザー名を作ることは、特別何か事情がある場合を除き、使わないことをおすすめします。

  • Admin
  • admin
  • administrator
  • anonymous
  • ftp
  • server
  • sysdiag
  • test
  • www-data

■VPSを触って気がついたのです

ちょっと、アルトコインのマイニングでPoSがやりたくて、月500円で借りれるならお試し程度にやってみるかーという感じで借りてみたのです。

VPSってなんぞやって話なのですが、昔で言うところのLinuxがハードウェアとしてはその場になく、遠隔操作(telnet)でできることができてしまうという仕組みのことです。

一応、かなり昔ですが、Unix(Linuxの仲間)を400kmも離れたところに向けてコマンドを叩いていたり、自宅でサーバー立てて、自分のドメインで自分でメールサーバーやHTTPサーバー立てたりと、遊んでいました。

今回は、Ubuntsuを使ったので少し勝手が違ったのですが、(昔はTurbo LinuxとかVine Linuxとかだったと思います)FTPに関してもアクセスログというが存在するのです。

具体的には、

/var/log/auth.log

の中にログが書き込まれていくのですが、VPSそのものに自分自身がログイン成功したログや、クローン(1時間に1回実行されるもの)の実行結果のログも入ってくるので、いろいろ混ざり込んでしまうのですよね。

なので、ログイン失敗を意味する”failure”という単語を引っ掛けて、検索してみました。

コマンドとしては、

grep failure auth.log

と入れれば出ます。

あらかじめ、/var/log にディレクトリを移動しておきましょう。

実行結果がこちら

これで、見事に吸い出すことができます。

“ruser=”の後に、失敗したユーザー名が書かれています。

パスワードは書かれていませんが、総当たり攻撃されますので、何十年か経つと、いつかは当たってしまうのです。

なので、このようなユーザー名は元から使わない方が無難です。

■折角なのでnslookupしてみる

アクセスしてきたIPアドレスが丸見えですので、どこから来たのか見てみましょう。

全部は引けなかったのと、(相手側がドメインの設定していないため)そのまま書くと、うっかりぽちってしまうのもまずいので、最後の国名部分だけ書きますね。

*.ru → ロシア

*.eu → 欧州連合

*.io  → イギリス領インド洋地域

こんな結果となりました。

日本のサーバーなのに早速海外からのFTP攻撃を受けていたのです。

■こんな荒業も

アクセスされないように、vsftpdそのものを止めてしまうのも手です。

PoSマイニングをやっていると、wallet.datをサーバーに置くことになるのですが、お財布をサーバーに置いていることと同じなので気をつけなければなりません。

暗号化も1つの方法なのですが、なかなか採掘してくれなかったので、あえて暗号化しない状態で置いておきました。

で、悩んだ末に、vsftpdそのものを止めました←

service vsftpd stop

Ubuntsuの場合、これで止まります。

これなら、どうやってもFTPできないので、ログも来ませんでしたとさ。

〔参考〕

当時使っていた、Unixのコマンド集の本です。

今でも普通に使えました。