ProHoster > Blog > ειδήσεις στο διαδίκτυο > Ανάλυση της δραστηριότητας των εισβολέων που σχετίζεται με την επιλογή κωδικών πρόσβασης μέσω SSH

Ανάλυση της δραστηριότητας των εισβολέων που σχετίζεται με την επιλογή κωδικών πρόσβασης μέσω SSH

Δημοσίευσε αποτελέσματα ανάλυσης επιθέσεων που σχετίζονται με εικασία κωδικού πρόσβασης για διακομιστές μέσω SSH. Κατά τη διάρκεια του πειράματος, κυκλοφόρησαν αρκετά honeypot, προσποιούμενοι ότι είναι ένας προσβάσιμος διακομιστής OpenSSH και φιλοξενούνται σε διάφορα δίκτυα παρόχων cloud, όπως π.χ.
Google Cloud, DigitalOcean και NameCheap. Σε διάστημα τριών μηνών, καταγράφηκαν 929554 προσπάθειες σύνδεσης με τον διακομιστή.

Στο 78% των περιπτώσεων, η αναζήτηση είχε ως στόχο τον προσδιορισμό του κωδικού πρόσβασης του χρήστη root. Οι κωδικοί πρόσβασης που ελέγχονταν πιο συχνά ήταν «123456» και «password», αλλά η πρώτη δεκάδα περιελάμβανε επίσης τον κωδικό πρόσβασης «J5cmmu=Kyf0-br8CsW», πιθανότατα τον προεπιλεγμένο κωδικό πρόσβασης που χρησιμοποιούσε κάποιος κατασκευαστής.

Τα πιο δημοφιλή στοιχεία σύνδεσης και κωδικοί πρόσβασης:

Όνομα χρήστη *
Αριθμός προσπαθειών
Κωδικός
Αριθμός προσπαθειών

ρίζα
729108

40556

διαχειριστής
23302
123456
14542

χρήστη
8420
διαχειριστής
7757

δοκιμή
7547
123
7355

μαντείο
6211
1234
7099

ftpuser
4012
ρίζα
6999

ubuntu
3657
κωδικό πρόσβασης
6118

επισκέπτης
3606
δοκιμή
5671

postgres
3455
12345
5223

χρήστη
2876
επισκέπτης
4423

Από τις προσπάθειες επιλογής που αναλύθηκαν, εντοπίστηκαν 128588 μοναδικά ζεύγη σύνδεσης-κωδικού πρόσβασης, ενώ 38112 από αυτά δοκιμάστηκαν να ελεγχθούν 5 ή περισσότερες φορές. 25 πιο συχνά δοκιμασμένα ζεύγη:

Όνομα χρήστη *
Κωδικός
Αριθμός προσπαθειών

ρίζα
 
37580

ρίζα
ρίζα
4213

χρήστη
χρήστη
2794

ρίζα
123456
2569

δοκιμή
δοκιμή
2532

διαχειριστής
διαχειριστής
2531

ρίζα
διαχειριστής
2185

επισκέπτης
επισκέπτης
2143

ρίζα
κωδικό πρόσβασης
2128

μαντείο
μαντείο
1869

ubuntu
ubuntu
1811

ρίζα
1234
1681

ρίζα
123
1658

postgres
postgres
1594

υποστήριξη
υποστήριξη
1535

Jenkins
Jenkins
1360

διαχειριστής
κωδικό πρόσβασης
1241

ρίζα
12345
1177

pi
βατόμουρο
1160

ρίζα
12345678
1126

ρίζα
123456789
1069

παντα
παντα
1069

διαχειριστής
1234
1012

ρίζα
1234567890
967

ec2-χρήστης
ec2-χρήστης
963

Κατανομή των προσπαθειών σάρωσης ανά ημέρα της εβδομάδας και ώρα:

Ανάλυση της δραστηριότητας των εισβολέων που σχετίζεται με την επιλογή κωδικών πρόσβασης μέσω SSH

Ανάλυση της δραστηριότητας των εισβολέων που σχετίζεται με την επιλογή κωδικών πρόσβασης μέσω SSH

Συνολικά, καταγράφηκαν αιτήματα από 27448 μοναδικές διευθύνσεις IP.
Ο μεγαλύτερος αριθμός ελέγχων που πραγματοποιήθηκαν από μία IP ήταν 64969. Το μερίδιο των ελέγχων μέσω Tor ήταν μόνο 0.8%. Το 62.2% των διευθύνσεων IP που συμμετείχαν στην επιλογή συσχετίστηκαν με κινεζικά υποδίκτυα:

Ανάλυση της δραστηριότητας των εισβολέων που σχετίζεται με την επιλογή κωδικών πρόσβασης μέσω SSH

Πηγή: opennet.ru

Προσθέστε ένα σχόλιο