📅Veri dönemi: 13–17 Nisan 2026 · OPSEC-filtreli · 5 günlük pencere

Özet

258`steam` hit

157`odoo` hit

133`frappe` hit

125`claude` hit

SSH brute-force kampanyaları tarihsel olarak dar bir kullanıcı adı kümesinden ibaretti: root, admin, ubuntu, user, test, postgres. Son 5 gün Cowrie honeypot’larımızda başka bir tablo görüldü.

Saldırganlar artık belirli yazılımları çalıştıran cihazları hedefliyor. Username listesi yazılım-adı havuzuna dönüşmüş.

Yeni Uygulama-Spesifik Username’ler

Username	5G Hit	Uygulama
`steam`	258	Steam gaming platform (consumer cihaz)
`odoo`	157	Odoo ERP (kurumsal)
`frappe`	133	Frappe Framework / ERPNext (open-source ERP)
`claude`	125	AI/LLM servis hesabı
`validator`	54	Solana staking node
`n8n`	12	n8n workflow automation
`AdminGPON`	12	GPON fiber router default

Bu 7 username 5 günlük pencerede Cowrie brute-force’larda gözlendi — jenerik kredansial spraying listesinde yoktu. Generic listede sabit root (491), admin (235), ubuntu (61) baskınken bu ek varlık trend sinyalidir.

`claude` Kullanıcı Adı — Zamanın Sinyali

125 denemede claude username’i SSH brute’la kullanıldı. Bu yeni bir başlık: son birkaç yılda popülerleşen büyük dil modeli (LLM) servislerinin adaşı. Normal SSH kredansial veritabanlarında olmayan bir isim.

Olası sebepler:

Developer host’ları hedefleniyor — LLM CLI/API kullanan makineler
Self-host LLM dağıtımları — wrapper/proxy servisleri kurulu sunucular
Kullanıcı adı üretimi otomatik — saldırganın wordlist’i trend yazılım adlarıyla genişletilmiş görünüyor (meta: LLM’in LLM’i taramak için kullanılması)

125 hit düşük ama sıfırdan gelmesi anlamlı. Normal bir dictionary’de claude olmaz; birinin “trending dev toolları” listesini username havuzuna dönüştürdüğü izlenimini veriyor.

Trend: Generic’ten Role-Specific’e

Önceki Kampanya Pattern (2025 ortalama)

root, admin, ubuntu, user, test, postgres, oracle, git, www-data, pi

Klasik 10-20 username’lik liste. Mimari veya uygulama-bağımsız.

13-17 Nisan 2026 Pattern

# Generic (mevcut ama alt sıralarda)
root, admin, ubuntu, user

# Uygulama-spesifik (yeni)
steam, odoo, frappe, claude, n8n, validator, AdminGPON,
solv, sollet, solr

Yazılım ekosistemlerinin default usernamelerinin derlenip listeye eklendiği görülüyor. Bu, saldırganın:

Shodan/Censys ile profilleme — hedef cihazın çalıştırdığı servisleri önceden tespit ediyor olabilir
GitHub default config tarama — docker-compose örnekleri, Docker Hub readme’leri, resmi dokümanlardan default user çekip listeye ekliyor olabilir
Otomatik wordlist genişletme — popüler self-host yazılımların default user’larını derleyen tool’larla liste üretimi

Username	Başarılı Giriş
root	491
admin	235
ubuntu	61
user	49
`345gs5662d34`	26
odoo	18
postgres	16
test	16
n8n	12
AdminGPON	12

odoo (18) ve n8n (12) başarılı login almış — Cowrie default credential set’ini yeni yazılım isimleriyle genişletmemişti, demek ki saldırgan beklemediği halde girebildi (pot kabul etti).

Aksiyonlar

Self-host yazılım operatörleri için:

Kurulum anında uygulama default kullanıcı adını değiştir. claude, odoo, frappe, n8n, validator gibi isimlerle sunucu kullanıcısı oluşturma
Fail2ban’da bu username’leri özel ban-listeye al — görüldüğü anda IP instant-ban
SSH parola doğrulamasını tamamen kapat, yalnızca pubkey

Trend gözlemcisi için:

SSH brute kampanyalarında username zenginleşmesi izlenmeli — claude gibi yeni başlıklar saldırgan wordlist’inin güncelliğini gösterir
Otomatik wordlist genişletme hipotezi hem saldırı hem savunma tarafında pratik yöntem olarak değerlendirilmeli

Metoloji

Pot: Cowrie SSH honeypot (T-Pot Hive + IST + SAK sensör)
Veri dönemi: 13-17 Nisan 2026 (5 gün)
OPSEC: Kendi altyapı IP’leri, RFC1918, CGNAT, BTK subnet hariç

Tellal tehdit-istihbarat bülten serisi. Adaşlık ilginç anekdot olarak paylaşıldı — ama trend arkasındaki wordlist evrimi asıl değerdir.