rezultati analize napada vezanih za pogađanje lozinke za servere putem SSH-a. Tokom eksperimenta, pokrenuto je nekoliko honeypotova koji su se pretvarali da su pristupačni OpenSSH server i koji su bili hostovani na različitim mrežama cloud provajdera, kao npr.
Google Cloud, DigitalOcean i NameCheap. Tokom tri mjeseca zabilježeno je 929554 pokušaja povezivanja na server.
U 78% slučajeva pretraga je bila usmjerena na utvrđivanje lozinke root korisnika. Najčešće provjeravane lozinke su bile “123456” i “password”, ali prvih deset je uključivalo i lozinku “J5cmmu=Kyf0-br8CsW”, vjerovatno zadanu koju koristi neki proizvođač.
Najpopularnije prijave i lozinke:
Prijava
Broj pokušaja
lozinka
Broj pokušaja
korijen
729108
40556
admin
23302
123456
14542
korisnik
8420
admin
7757
test
7547
123
7355
oracle
6211
1234
7099
ftpuser
4012
korijen
6999
ubuntu
3657
lozinka
6118
gost
3606
test
5671
postgres
3455
12345
5223
korisnik
2876
gost
4423
Od analiziranih pokušaja selekcije identifikovano je 128588 jedinstvenih parova login-lozinka, dok je njih 38112 pokušano da se proveri 5 ili više puta. 25 najčešće testiranih parova:
Prijava
lozinka
Broj pokušaja
korijen
37580
korijen
korijen
4213
korisnik
korisnik
2794
korijen
123456
2569
test
test
2532
admin
admin
2531
korijen
admin
2185
gost
gost
2143
korijen
lozinka
2128
oracle
oracle
1869
ubuntu
ubuntu
1811
korijen
1234
1681
korijen
123
1658
postgres
postgres
1594
podrška
podrška
1535
jenkins
jenkins
1360
admin
lozinka
1241
korijen
12345
1177
pi
malina
1160
korijen
12345678
1126
korijen
123456789
1069
ubnt
ubnt
1069
admin
1234
1012
korijen
1234567890
967
ec2-korisnik
ec2-korisnik
963
Distribucija pokušaja skeniranja po danima u sedmici i satu:
Ukupno su zabilježeni zahtjevi sa 27448 jedinstvenih IP adresa.
Najveći broj izvršenih provjera sa jednog IP-a je 64969. Udio provjera putem Tor-a iznosio je samo 0.8%. 62.2% IP adresa uključenih u odabir bilo je povezano s kineskim podmrežama:
izvor: opennet.ru