результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как
Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попытки подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали «123456» и «password», но в десятку лидеров также вошёл пароль «J5cmmu=Kyf0-br8CsW», вероятно по умолчанию используемый каким-то производителем.
Наиболее популярные логины и пароли:
ចូល
Число попыток
Пароль
Число попыток
ជា root
729108
40556
គ្រប់គ្រង
23302
123456
14542
អ្នកប្រើ
8420
គ្រប់គ្រង
7757
ការធ្វើតេស្ត
7547
123
7355
oracle
6211
1234
7099
ftpuser
4012
ជា root
6999
Ubuntu
3657
ពាក្យសម្ងាត់
6118
ភ្ញៀវ
3606
ការធ្វើតេស្ត
5671
postgres
3455
12345
5223
អ្នកប្រើ
2876
ភ្ញៀវ
4423
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
ចូល
Пароль
Число попыток
ជា root
37580
ជា root
ជា root
4213
អ្នកប្រើ
អ្នកប្រើ
2794
ជា root
123456
2569
ការធ្វើតេស្ត
ការធ្វើតេស្ត
2532
គ្រប់គ្រង
គ្រប់គ្រង
2531
ជា root
គ្រប់គ្រង
2185
ភ្ញៀវ
ភ្ញៀវ
2143
ជា root
ពាក្យសម្ងាត់
2128
oracle
oracle
1869
Ubuntu
Ubuntu
1811
ជា root
1234
1681
ជា root
123
1658
postgres
postgres
1594
ការគាំទ្រ
ការគាំទ្រ
1535
Jenkins
Jenkins
1360
គ្រប់គ្រង
ពាក្យសម្ងាត់
1241
ជា root
12345
1177
pi
raspberry
1160
ជា root
12345678
1126
ជា root
123456789
1069
ubnt
ubnt
1069
គ្រប់គ្រង
1234
1012
ជា root
1234567890
967
ec2- អ្នកប្រើប្រាស់
ec2- អ្នកប្រើប្រាស់
963
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов.
Наибольшее число проверок, выполненных с одного IP, — 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
ប្រភព: opennet.ru