ProHoster > blog > notizie internet > Analisi dell'attività degli aggressori relativa all'identificazione della password tramite SSH

Analisi dell'attività degli aggressori relativa all'identificazione della password tramite SSH

Pubblicato risultati dell'analisi degli attacchi legati all'ipotesi di password per server tramite SSH. Durante l'esperimento sono stati lanciati diversi honeypot che fingevano di essere un server OpenSSH accessibile e ospitati su varie reti di fornitori di servizi cloud, come
Google Cloud, DigitalOcean e NameCheap. In tre mesi sono stati registrati 929554 tentativi di connessione al server.

Nel 78% dei casi la ricerca era finalizzata a determinare la password dell'utente root. Le password controllate più frequentemente sono state “123456” e “password”, ma tra le prime dieci figura anche la password “J5cmmu=Kyf0-br8CsW”, probabilmente quella predefinita utilizzata da qualche produttore.

I login e le password più popolari:

accesso
Numero di tentativi
password
Numero di tentativi

radice
729108

40556

Admin
23302
123456
14542

Utente
8420
Admin
7757

test
7547
123
7355

oracolo
6211
1234
7099

ftpuser
4012
radice
6999

ubuntu
3657
parola d'ordine
6118

ospite
3606
test
5671

Postgres
3455
12345
5223

utente
2876
ospite
4423

Dai tentativi di selezione analizzati sono state identificate 128588 coppie login-password uniche, mentre 38112 di esse sono state tentate di essere controllate 5 o più volte. 25 coppie testate più frequentemente:

accesso
password
Numero di tentativi

radice
 
37580

radice
radice
4213

Utente
Utente
2794

radice
123456
2569

test
test
2532

Admin
Admin
2531

radice
Admin
2185

ospite
ospite
2143

radice
parola d'ordine
2128

oracolo
oracolo
1869

ubuntu
ubuntu
1811

radice
1234
1681

radice
123
1658

Postgres
Postgres
1594

supporto
supporto
1535

Jenkins
Jenkins
1360

Admin
parola d'ordine
1241

radice
12345
1177

pi
lampone
1160

radice
12345678
1126

radice
123456789
1069

ubnt
ubnt
1069

Admin
1234
1012

radice
1234567890
967

utente ec2
utente ec2
963

Distribuzione dei tentativi di scansione per giorno della settimana e ora:

Analisi dell'attività degli aggressori relativa all'identificazione della password tramite SSH

Analisi dell'attività degli aggressori relativa all'identificazione della password tramite SSH

In totale sono state registrate richieste da 27448 indirizzi IP univoci.
Il maggior numero di controlli eseguiti da un IP è stato 64969. La quota di controlli tramite Tor è stata solo dello 0.8%. Il 62.2% degli indirizzi IP coinvolti nella selezione erano associati a sottoreti cinesi:

Analisi dell'attività degli aggressori relativa all'identificazione della password tramite SSH

Fonte: opennet.ru

Aggiungi un commento