ProHoster > Bloc > notícies d'internet > Anàlisi de l'activitat dels atacants relacionada amb l'endevinació de contrasenyes mitjançant SSH

Anàlisi de l'activitat dels atacants relacionada amb l'endevinació de contrasenyes mitjançant SSH

Publicat resultats de l'anàlisi d'atacs relacionats amb l'endevinació de contrasenyes per a servidors mitjançant SSH. Durant l'experiment, es van llançar diversos honeypots, que pretenien ser un servidor OpenSSH accessible i allotjats en diverses xarxes de proveïdors de núvol, com ara
Google Cloud, DigitalOcean i NameCheap. Durant tres mesos, es van registrar 929554 intents de connexió al servidor.

En el 78% dels casos, la cerca estava dirigida a determinar la contrasenya de l'usuari root. Les contrasenyes verificades amb més freqüència eren "123456" i "contrasenya", però les deu primeres també incloïen la contrasenya "J5cmmu=Kyf0-br8CsW", probablement la predeterminada utilitzada per algun fabricant.

Els inicis de sessió i contrasenyes més populars:

Iniciar sessió
Nombre d'intents
Contrasenya
Nombre d'intents

root
729108

40556

admin
23302
123456
14542

user
8420
admin
7757

prova
7547
123
7355

oracle
6211
1234
7099

ftpuser
4012
root
6999

ubuntu
3657
contrasenya
6118

convidat
3606
prova
5671

postgres
3455
12345
5223

usuari
2876
convidat
4423

A partir dels intents de selecció analitzats, es van identificar 128588 parells únics d'inici de sessió-contrasenya, mentre que 38112 d'ells es van intentar comprovar 5 o més vegades. 25 parells provats amb més freqüència:

Iniciar sessió
Contrasenya
Nombre d'intents

root
 
37580

root
root
4213

user
user
2794

root
123456
2569

prova
prova
2532

admin
admin
2531

root
admin
2185

convidat
convidat
2143

root
contrasenya
2128

oracle
oracle
1869

ubuntu
ubuntu
1811

root
1234
1681

root
123
1658

postgres
postgres
1594

donar suport
donar suport
1535

jenkins
jenkins
1360

admin
contrasenya
1241

root
12345
1177

pi
gerds
1160

root
12345678
1126

root
123456789
1069

ubnt
ubnt
1069

admin
1234
1012

root
1234567890
967

ec2-usuari
ec2-usuari
963

Distribució dels intents d'exploració per dia de la setmana i hora:

Anàlisi de l'activitat dels atacants relacionada amb l'endevinació de contrasenyes mitjançant SSH

Anàlisi de l'activitat dels atacants relacionada amb l'endevinació de contrasenyes mitjançant SSH

En total, es van registrar peticions de 27448 adreces IP úniques.
El nombre més gran de comprovacions realitzades des d'una IP va ser 64969. La quota de comprovacions a través de Tor va ser només del 0.8%. El 62.2% de les adreces IP implicades en la selecció estaven associades a subxarxes xineses:

Anàlisi de l'activitat dels atacants relacionada amb l'endevinació de contrasenyes mitjançant SSH

Font: opennet.ru

Afegeix comentari