резултати от анализ на атаки, свързани с отгатване на пароли за сървъри чрез SSH. По време на експеримента бяха стартирани няколко honeypots, представящи се за достъпен OpenSSH сървър и хоствани в различни мрежи на облачни доставчици, като напр.
Google Cloud, DigitalOcean и NameCheap. За три месеца са регистрирани 929554 XNUMX опита за свързване със сървъра.
В 78% от случаите търсенето беше насочено към определяне на паролата на root потребителя. Най-често проверяваните пароли са „123456“ и „password“, но в челната десетка влиза и паролата „J5cmmu=Kyf0-br8CsW“, вероятно тази по подразбиране, използвана от някои производители.
Най-популярните влизания и пароли:
Потребителско име
Брой опити
Парола
Брой опити
корен
729108
40556
администратор
23302
123456
14542
потребител
8420
администратор
7757
тест
7547
123
7355
оракул
6211
1234
7099
ftpuser
4012
корен
6999
Ubuntu
3657
парола
6118
гост
3606
тест
5671
Postgres
3455
12345
5223
потребител
2876
гост
4423
От анализираните опити за селекция са идентифицирани 128588 38112 уникални двойки вход-парола, като 5 25 от тях са били опитани да бъдат проверени XNUMX или повече пъти. XNUMX най-често тествани двойки:
Потребителско име
Парола
Брой опити
корен
37580
корен
корен
4213
потребител
потребител
2794
корен
123456
2569
тест
тест
2532
администратор
администратор
2531
корен
администратор
2185
гост
гост
2143
корен
парола
2128
оракул
оракул
1869
Ubuntu
Ubuntu
1811
корен
1234
1681
корен
123
1658
Postgres
Postgres
1594
подкрепа
подкрепа
1535
Дженкинс
Дженкинс
1360
администратор
парола
1241
корен
12345
1177
pi
малина
1160
корен
12345678
1126
корен
123456789
1069
ubnt
ubnt
1069
администратор
1234
1012
корен
1234567890
967
ec2 потребител
ec2 потребител
963
Разпределение на опитите за сканиране по ден от седмицата и час:
Общо са записани заявки от 27448 XNUMX уникални IP адреса.
Най-големият брой проверки, извършени от едно IP е 64969. Делът на проверките през Tor е само 0.8%. 62.2% от IP адресите, включени в селекцията, са свързани с китайски подмрежи:
Източник: opennet.ru