ProHoster > Blogi > netin uutisia > SSH:n kautta tapahtuvaan salasanan arvaamiseen liittyvän hyökkääjän toiminnan analyysi

SSH:n kautta tapahtuvaan salasanan arvaamiseen liittyvän hyökkääjän toiminnan analyysi

Julkaistu Palvelinten salasanan arvaamiseen liittyvien hyökkäysten analyysin tulokset SSH:n kautta. Kokeilun aikana lanseerattiin useita honeypotteja, jotka teeskentelivät olevansa saavutettavissa oleva OpenSSH-palvelin ja joita isännöitiin erilaisissa pilvipalveluntarjoajien verkoissa, kuten esim.
Google Cloud, DigitalOcean ja NameCheap. Kolmen kuukauden aikana kirjattiin 929554 XNUMX yritystä muodostaa yhteys palvelimeen.

78 %:ssa tapauksista haun tavoitteena oli pääkäyttäjän salasanan selvittäminen. Eniten tarkastetut salasanat olivat "123456" ja "salasana", mutta kymmenen parhaan joukkoon kuului myös salasana "J5cmmu=Kyf0-br8CsW", luultavasti jonkin valmistajan käyttämä oletussalasana.

Suosituimmat kirjautumistunnukset ja salasanat:

kirjautuminen
Yritysten määrä
salasana
Yritysten määrä

juuri
729108

40556

admin
23302
123456
14542

lähettämä
8420
admin
7757

testi
7547
123
7355

oraakkeli
6211
1234
7099

ftpuser
4012
juuri
6999

Ubuntu
3657
salasana
6118

vieras
3606
testi
5671

postgres
3455
12345
5223

Usuario
2876
vieras
4423

Analysoiduista valintayrityksistä tunnistettiin 128588 38112 yksilöllistä kirjautumissalasana-paria, joista 5 25 yritettiin tarkistaa vähintään XNUMX kertaa. XNUMX useimmin testattua paria:

kirjautuminen
salasana
Yritysten määrä

juuri
 
37580

juuri
juuri
4213

lähettämä
lähettämä
2794

juuri
123456
2569

testi
testi
2532

admin
admin
2531

juuri
admin
2185

vieras
vieras
2143

juuri
salasana
2128

oraakkeli
oraakkeli
1869

Ubuntu
Ubuntu
1811

juuri
1234
1681

juuri
123
1658

postgres
postgres
1594

tuki
tuki
1535

Jenkins
Jenkins
1360

admin
salasana
1241

juuri
12345
1177

pi
vadelma
1160

juuri
12345678
1126

juuri
123456789
1069

ubnt
ubnt
1069

admin
1234
1012

juuri
1234567890
967

ec2-käyttäjä
ec2-käyttäjä
963

Skannausyritysten jakautuminen viikonpäivän ja tunnin mukaan:

SSH:n kautta tapahtuvaan salasanan arvaamiseen liittyvän hyökkääjän toiminnan analyysi

SSH:n kautta tapahtuvaan salasanan arvaamiseen liittyvän hyökkääjän toiminnan analyysi

Yhteensä tallennettiin pyyntöjä 27448 XNUMX yksilöllisestä IP-osoitteesta.
Eniten yhdeltä IP:ltä tehtyjä tarkastuksia oli 64969. Torin kautta tehtyjen tarkistusten osuus oli vain 0.8 %. 62.2 % valinnassa mukana olevista IP-osoitteista liittyi kiinalaisiin aliverkkoihin:

SSH:n kautta tapahtuvaan salasanan arvaamiseen liittyvän hyökkääjän toiminnan analyysi

Lähde: opennet.ru

Lisää kommentti