ProHoster > Blog > noticias de internet > Análise da actividade do atacante relacionada coa adiviñación de contrasinal mediante SSH

Análise da actividade do atacante relacionada coa adiviñación de contrasinal mediante SSH

Publicado resultados da análise de ataques relacionados coa adiviñación de contrasinais para servidores a través de SSH. Durante o experimento, lanzáronse varios honeypots, simulando ser un servidor OpenSSH accesible e aloxado en varias redes de provedores de nube, como
Google Cloud, DigitalOcean e NameCheap. Durante tres meses, rexistráronse 929554 intentos de conexión ao servidor.

No 78% dos casos, a busca estaba dirixida a determinar o contrasinal do usuario root. Os contrasinais comprobados con máis frecuencia foron "123456" e "contrasinal", pero os dez primeiros tamén incluían o contrasinal "J5cmmu=Kyf0-br8CsW", probablemente o predeterminado utilizado por algún fabricante.

Os inicios de sesión e contrasinais máis populares:

Iniciar sesión
Número de intentos
Contrasinal
Número de intentos

raíz
729108

40556

administrador
23302
123456
14542

usuario
8420
administrador
7757

proba
7547
123
7355

oráculo
6211
1234
7099

ftpuser
4012
raíz
6999

ubuntu
3657
contrasinal
6118

invitado
3606
proba
5671

postgres
3455
12345
5223

usuario
2876
invitado
4423

A partir dos intentos de selección analizados, identificáronse 128588 pares únicos de inicio de sesión e contrasinal, mentres que 38112 deles intentáronse comprobar 5 ou máis veces. 25 pares probados con máis frecuencia:

Iniciar sesión
Contrasinal
Número de intentos

raíz
 
37580

raíz
raíz
4213

usuario
usuario
2794

raíz
123456
2569

proba
proba
2532

administrador
administrador
2531

raíz
administrador
2185

invitado
invitado
2143

raíz
contrasinal
2128

oráculo
oráculo
1869

ubuntu
ubuntu
1811

raíz
1234
1681

raíz
123
1658

postgres
postgres
1594

apoiar
apoiar
1535

Jenkins
Jenkins
1360

administrador
contrasinal
1241

raíz
12345
1177

pi
framboesa
1160

raíz
12345678
1126

raíz
123456789
1069

ubnt
ubnt
1069

administrador
1234
1012

raíz
1234567890
967

usuario ec2
usuario ec2
963

Distribución dos intentos de dixitalización por día da semana e hora:

Análise da actividade do atacante relacionada coa adiviñación de contrasinal mediante SSH

Análise da actividade do atacante relacionada coa adiviñación de contrasinal mediante SSH

En total, rexistráronse solicitudes de 27448 enderezos IP únicos.
O maior número de comprobacións realizadas desde unha IP foi 64969. A porcentaxe de comprobacións a través de Tor foi só do 0.8 %. O 62.2% dos enderezos IP implicados na selección estaban asociados con subredes chinesas:

Análise da actividade do atacante relacionada coa adiviñación de contrasinal mediante SSH

Fonte: opennet.ru

Engadir un comentario