

<br>

<br>

<br>

<table width=100%>

<tr valign=top>

<td width=40%><font size=1 face="sans-serif"><b>Sam Drinkard <sam@wa4phy.net></b>

</font>

<br><font size=1 face="sans-serif">Sent by: centos-bounces@centos.org</font>

<p><font size=1 face="sans-serif">07/23/2009 11:49 AM</font>

<table border>

<tr valign=top>

<td bgcolor=white>

<div align=center><font size=1 face="sans-serif">Please respond to<br>

CentOS mailing list <centos@centos.org></font></div></table>

<br>

<td width=59%>

<table width=100%>

<tr valign=top>

<td>

<div align=right><font size=1 face="sans-serif">To</font></div>

<td><font size=1 face="sans-serif">CentOS mailing list <centos@centos.org></font>

<tr valign=top>

<td>

<div align=right><font size=1 face="sans-serif">cc</font></div>

<td>

<tr valign=top>

<td>

<div align=right><font size=1 face="sans-serif">Subject</font></div>

<td><font size=1 face="sans-serif">Re: [CentOS] SSH attacks from china</font></table>

<br>

<table>

<tr valign=top>

<td>

<td></table>

<br></table>

<br>

<br>

<br><tt><font size=2>Bob Hoffman wrote:<br>

> Okay, I have a server connected to the net but have not added fail2ban

or<br>

> anything on top of my firewall yet.<br>

><br>

> Thought you guys might get a kick out of this one user, ip is from

china,<br>

> who has got a heck of a knack for making assumptions on possible usernames.<br>

><br>

> Enjoy this..., 8000+ attempts. Scroll down for funky ones. I have

no root<br>

> access enabled on this server and it is pretty bare. Just using it

as a<br>

> collector of banable ips right now and it is doing a good job. <br>

> But some of these are quite interesting when you look at the keyboard<br>

> layout. They really must try to figure this mental thing out...wow.<br>

><br>

> If you take some time, there are some down right funny usernames like<br>

><br>

> 1am0nly4Joomla<br>

> Igor<br>

> scoobydoo<br>

> $chooLg1rL<br>

><br>

> So for all you out there that think your cool way of making a username

is<br>

> unique and not to be guessed, you might want to look at some of the

lengths<br>

> this one bot went to.<br>

><br>

> 58.53.192.47: 8002 times<br>

>        test/password: 48 times<br>

>        user/password: 45 times<br>

>        fax/password: 43 times<br>

>        www/password: 34 times<br>

>        info/password: 27 times<br>

>        /password: 24 times<br>

>        bill/password: 24 times<br>

>        httpd/password: 23 times<br>

>        1q2w3e/password: 21 times<br>

>        admin/password: 21 times<br>

><br>

>   <br>

><snip the other 7995 ><br>

><br>

>I think that would definitely classify as a dictionary attack.. but

what <br>

>dictionary has all those kinds of entries :)<br>

><br>

>Sam<br>

></font></tt>

<br>

<br><tt><font size=2>When it is not so much a dictionary, but a list of

known, good usernames/passwords harvested from somewhere else... or in

this case several lists concatenated one after another (note how there

the list is a pattern of alphabetical runs)...</font></tt>

<br>

<br><font size=2 face="sans-serif">Mark</font>

<pre></PRE><p><span style="font-size:9.5pt;line-height:115%;font-family: Arial">This transmission is intended solely for the person or organization to whom it is addressed and it may contain privileged and confidential information.  If you are not the intended recipient you should not copy, distribute or take any action in reliance on it. If you believe you received this transmission in error, please notify the sender.</span></p>