вынікі аналізу нападаў, злучаных з падборам пароляў да сервераў па SSH. Падчас эксперыменту было запушчана некалькі пастак (honeypot), якія прыкідваюцца даступным серверам OpenSSH і размешчаных у розных сетках хмарных правайдэраў, такіх як
Google Cloud, DigitalOcean і NameCheap. За тры месяцы было зафіксавана 929554 спробы падключэння да сервера.
У 78% выпадках падбор быў накіраваны на вызначэнне пароля карыстача root. Найбольш часта правяранымі паролямі сталі "123456" і "password", але ў дзясятку лідэраў таксама ўвайшоў пароль "J5cmmu=Kyf0-br8CsW", верагодна па змаўчанні які выкарыстоўваецца нейкім вытворцам.
Найбольш папулярныя лагіны і паролі:
Лагін
Колькасць спроб
Пароль
Колькасць спроб
корань
729108
40556
адмін
23302
123456
14542
карыстальнік
8420
адмін
7757
тэст
7547
123
7355
аракул
6211
1234
7099
ftpuser
4012
корань
6999
Ubuntu
3657
пароль
6118
госць
3606
тэст
5671
Postgres
3455
12345
5223
карыстач
2876
госць
4423
З прааналізаваных спроб падбору было выяўлена 128588 унікальных пар лагін-пароль, пры тым што 38112 з іх спрабавалі праверыць 5 і больш разоў. 25 найбольш часта правяраемых пар:
Лагін
Пароль
Колькасць спроб
корань
37580
корань
корань
4213
карыстальнік
карыстальнік
2794
корань
123456
2569
тэст
тэст
2532
адмін
адмін
2531
корань
адмін
2185
госць
госць
2143
корань
пароль
2128
аракул
аракул
1869
Ubuntu
Ubuntu
1811
корань
1234
1681
корань
123
1658
Postgres
Postgres
1594
падтрымка
падтрымка
1535
Джэнкінс
Джэнкінс
1360
адмін
пароль
1241
корань
12345
1177
pi
маліна
1160
корань
12345678
1126
корань
123456789
1069
убнт
убнт
1069
адмін
1234
1012
корань
1234567890
967
ec2 карыстальнік
ec2 карыстальнік
963
Размеркаванне спроб сканавання па днях тыдня і гадзінам:
Усяго было зафіксавана абыходжанне з 27448 унікальных IP-адрасоў.
Найбольшая колькасць праверак, выкананых з аднаго IP, – 64969. Доля праверак праз Tor склала ўсяго 0.8%. 62.2% IP-адрасоў, якія ўдзельнічаюць у падборы, былі звязаны з кітайскімі падсеткамі:
Крыніца: opennet.ru