rezultati analize napada vezanih uz pogađanje lozinki za poslužitelje putem SSH-a. Tijekom eksperimenta pokrenuto je nekoliko honeypotova koji su se pretvarali da su dostupni OpenSSH poslužitelj i smješteni na raznim mrežama pružatelja usluga oblaka, kao što su
Google Cloud, DigitalOcean i NameCheap. Tijekom tri mjeseca zabilježeno je 929554 pokušaja spajanja na server.
U 78% slučajeva pretraga je bila usmjerena na određivanje lozinke root korisnika. Najčešće provjeravane lozinke bile su “123456” i “password”, no među prvih deset našla se i lozinka “J5cmmu=Kyf0-br8CsW”, vjerojatno zadana koju koristi neki proizvođač.
Najpopularnije prijave i lozinke:
Prijava
Broj pokušaja
lozinka
Broj pokušaja
korijen
729108
40556
admin
23302
123456
14542
korisnik
8420
admin
7757
test
7547
123
7355
proročanstvo
6211
1234
7099
ftpuser
4012
korijen
6999
ubuntu
3657
lozinka
6118
gost
3606
test
5671
postgres
3455
12345
5223
korisnik
2876
gost
4423
Iz analiziranih pokušaja odabira identificirano je 128588 jedinstvenih parova login-password, dok je njih 38112 pokušano provjeriti 5 ili više puta. 25 najčešće testiranih parova:
Prijava
lozinka
Broj pokušaja
korijen
37580
korijen
korijen
4213
korisnik
korisnik
2794
korijen
123456
2569
test
test
2532
admin
admin
2531
korijen
admin
2185
gost
gost
2143
korijen
lozinka
2128
proročanstvo
proročanstvo
1869
ubuntu
ubuntu
1811
korijen
1234
1681
korijen
123
1658
postgres
postgres
1594
podrška
podrška
1535
Jenkins
Jenkins
1360
admin
lozinka
1241
korijen
12345
1177
pi
malina
1160
korijen
12345678
1126
korijen
123456789
1069
ubnt
ubnt
1069
admin
1234
1012
korijen
1234567890
967
ec2-korisnik
ec2-korisnik
963
Distribucija pokušaja skeniranja po danu u tjednu i satu:
Ukupno su zabilježeni zahtjevi s 27448 jedinstvenih IP adresa.
Najveći broj provjera obavljenih s jednog IP-a bio je 64969. Udio provjera putem Tor-a bio je samo 0.8%. 62.2% IP adresa uključenih u odabir bilo je povezano s kineskim podmrežama:
Izvor: opennet.ru