результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как
Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попытки подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали «123456» и «password», но в десятку лидеров также вошёл пароль «J5cmmu=Kyf0-br8CsW», вероятно по умолчанию используемый каким-то производителем.
Наиболее популярные логины и пароли:
Кирүү
Число попыток
пароль
Число попыток
тамыр
729108
40556
админ
23302
123456
14542
колдонуучу
8420
админ
7757
текшерүү
7547
123
7355
Oracle
6211
1234
7099
ftpuser
4012
тамыр
6999
Ubuntu
3657
купуя сөз
6118
конок
3606
текшерүү
5671
postgres
3455
12345
5223
колдонуучу
2876
конок
4423
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
Кирүү
пароль
Число попыток
тамыр
37580
тамыр
тамыр
4213
колдонуучу
колдонуучу
2794
тамыр
123456
2569
текшерүү
текшерүү
2532
админ
админ
2531
тамыр
админ
2185
конок
конок
2143
тамыр
купуя сөз
2128
Oracle
Oracle
1869
Ubuntu
Ubuntu
1811
тамыр
1234
1681
тамыр
123
1658
postgres
postgres
1594
колдоо
колдоо
1535
Дженкинс
Дженкинс
1360
админ
купуя сөз
1241
тамыр
12345
1177
pi
дан куурай
1160
тамыр
12345678
1126
тамыр
123456789
1069
ubnt
ubnt
1069
админ
1234
1012
тамыр
1234567890
967
ec2-колдонуучу
ec2-колдонуучу
963
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов.
Наибольшее число проверок, выполненных с одного IP, — 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
Source: opennet.ru