几个有趣且值得注意的SSH/Telnet用户名

发布时间：2025-07-06，最后更新：2025-07-06 15:29:31 UTC
作者：Johannes Ullrich（版本：1）

最近查看了我们的Telnet/SSH蜜罐数据，发现攻击者尝试使用了一些有趣的新用户名：

“notachancethisisreal”

这个用户名很可能用于检测Cowrie（及其他）蜜罐。Cowrie通常被配置为随机接受登录。无论使用何种用户名/密码组合，每隔几次登录就会成功一次。这样做的目的是制造一个更"真实"系统的假象，而不是只允许某些常见的默认密码，也不是让每次登录都成功。与该用户名一起使用的密码是"nopasswordforme73baby"，这很可能是为了选择一个极不可能在真实系统中使用的密码。

任何使用此用户名和密码成功登录的系统都将表明该系统是蜜罐。到目前为止，我们只记录了31次使用此用户名和密码的登录尝试，全部发生在7月1日。

“scadaadmin”

从名称可以看出：攻击者似乎在寻找SCADA系统。与该用户名一起使用的密码是"P@$$W0rd"。这个密码已经被使用了"很久"并且很流行，但用户名是新的。

根据一些AI搜索结果，该用户名似乎与"Rapid SCADA"系统相关联，但我未能在手册中确认这一点。也许只是AI的幻觉。然而，默认密码通常是12345或空白。攻击者正在寻找那些试图提高安全性的用户。我不确定他们是如何最终选择P@$$W0rd的。他们还似乎使用"admin"和"12345"作为默认凭据。如果一个SCADA系统没有这样简单的默认凭据，那它就不是一个严肃的SCADA系统。

“gpu001”、“gpu002”

这些似乎是网络可访问GPU的常见主机名，但我无法确认这些是否是这些系统常用的实际用户名。但攻击者总是寻求更多的GPU/CPU资源，所以他们可能只是尝试一下，希望能成功。与这些用户名一起使用的有几个密码，如'7777777’、‘gpu001@2025’和'1111111’。

您还发现了其他新的有趣内容吗？或者对我上面列出的三个用户名有任何见解？请告诉我！（参见左侧的联系链接）。

Johannes B. Ullrich, Ph.D., SANS.edu研究院长
Twitter|

关键词：gpu scada ssh telnet