результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как
Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попытки подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали «123456» и «password», но в десятку лидеров также вошёл пароль «J5cmmu=Kyf0-br8CsW», вероятно по умолчанию используемый каким-то производителем.
Наиболее популярные логины и пароли:
Nbanye
Число попыток
Paswọọdụ
Число попыток
mgbọrọgwụ
729108
40556
admin
23302
123456
14542
onye ọrụ
8420
admin
7757
ule
7547
123
7355
okwu ọnụ
6211
1234
7099
ftpuser
4012
mgbọrọgwụ
6999
Ubuntu
3657
password
6118
guest
3606
ule
5671
postgres
3455
12345
5223
ọrụ
2876
guest
4423
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
Nbanye
Paswọọdụ
Число попыток
mgbọrọgwụ
37580
mgbọrọgwụ
mgbọrọgwụ
4213
onye ọrụ
onye ọrụ
2794
mgbọrọgwụ
123456
2569
ule
ule
2532
admin
admin
2531
mgbọrọgwụ
admin
2185
guest
guest
2143
mgbọrọgwụ
password
2128
okwu ọnụ
okwu ọnụ
1869
Ubuntu
Ubuntu
1811
mgbọrọgwụ
1234
1681
mgbọrọgwụ
123
1658
postgres
postgres
1594
support
support
1535
Jenkins
Jenkins
1360
admin
password
1241
mgbọrọgwụ
12345
1177
pi
raspberị
1160
mgbọrọgwụ
12345678
1126
mgbọrọgwụ
123456789
1069
ubnt
ubnt
1069
admin
1234
1012
mgbọrọgwụ
1234567890
967
onye ọrụ ec2
onye ọrụ ec2
963
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов.
Наибольшее число проверок, выполненных с одного IP, — 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
isi: opennet.ru