ProHoster > Blog > noticias de internet > Análisis de la actividad de los atacantes relacionada con la adivinación de contraseñas a través de SSH

Análisis de la actividad de los atacantes relacionada con la adivinación de contraseñas a través de SSH

Publicado resultados del análisis de ataques relacionados con la adivinación de contraseñas para servidores vía SSH. Durante el experimento, se lanzaron varios honeypots, simulando ser un servidor OpenSSH accesible y alojado en varias redes de proveedores de la nube, como
Google Cloud, DigitalOcean y NameCheap. Durante tres meses, se registraron 929554 intentos de conexión al servidor.

En el 78% de los casos, la búsqueda tuvo como objetivo determinar la contraseña del usuario root. Las contraseñas comprobadas con mayor frecuencia fueron “123456” y “contraseña”, pero entre las diez primeras también incluían la contraseña “J5cmmu=Kyf0-br8CsW”, probablemente la predeterminada utilizada por algún fabricante.

Los inicios de sesión y contraseñas más populares:

login
Número de intentos
contraseña
Número de intentos

raíz
729108

40556

Admin
23302
123456
14542

usuario
8420
Admin
7757

test
7547
123
7355

oráculo
6211
1234
7099

ftpuser
4012
raíz
6999

Ubuntu
3657
la contraseña
6118

invitado
3606
test
5671

Postgres
3455
12345
5223

usuario
2876
invitado
4423

De los intentos de selección analizados, se identificaron 128588 pares únicos de inicio de sesión y contraseña, mientras que se intentó verificar 38112 de ellos 5 o más veces. 25 pares probados con mayor frecuencia:

login
contraseña
Número de intentos

raíz
 
37580

raíz
raíz
4213

usuario
usuario
2794

raíz
123456
2569

test
test
2532

Admin
Admin
2531

raíz
Admin
2185

invitado
invitado
2143

raíz
la contraseña
2128

oráculo
oráculo
1869

Ubuntu
Ubuntu
1811

raíz
1234
1681

raíz
123
1658

Postgres
Postgres
1594

SOPORTE
SOPORTE
1535

jenkins
jenkins
1360

Admin
la contraseña
1241

raíz
12345
1177

pi
frambuesa
1160

raíz
12345678
1126

raíz
123456789
1069

ubnt
ubnt
1069

Admin
1234
1012

raíz
1234567890
967

ec2-usuario
ec2-usuario
963

Distribución de intentos de escaneo por día de la semana y hora:

Análisis de la actividad de los atacantes relacionada con la adivinación de contraseñas a través de SSH

Análisis de la actividad de los atacantes relacionada con la adivinación de contraseñas a través de SSH

En total, se registraron solicitudes de 27448 direcciones IP únicas.
El mayor número de comprobaciones realizadas desde una IP fue 64969. La proporción de comprobaciones a través de Tor fue sólo del 0.8%. El 62.2% de las direcciones IP involucradas en la selección estaban asociadas a subredes chinas:

Análisis de la actividad de los atacantes relacionada con la adivinación de contraseñas a través de SSH

Fuente: opennet.ru

Añadir un comentario