результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как
Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попытки подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали «123456» и «password», но в десятку лидеров также вошёл пароль «J5cmmu=Kyf0-br8CsW», вероятно по умолчанию используемый каким-то производителем.
Наиболее популярные логины и пароли:
Login
Число попыток
Passwuert
Число попыток
root
729108
40556
Administrator
23302
123456
14542
Benotzersäit
8420
Administrator
7757
Test
7547
123
7355
Orakel
6211
1234
7099
ftpuser
4012
root
6999
Ubuntu
3657
Passwuert
6118
Gaascht
3606
Test
5671
Postgruppen
3455
12345
5223
Benotzer
2876
Gaascht
4423
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
Login
Passwuert
Число попыток
root
37580
root
root
4213
Benotzersäit
Benotzersäit
2794
root
123456
2569
Test
Test
2532
Administrator
Administrator
2531
root
Administrator
2185
Gaascht
Gaascht
2143
root
Passwuert
2128
Orakel
Orakel
1869
Ubuntu
Ubuntu
1811
root
1234
1681
root
123
1658
Postgruppen
Postgruppen
1594
Ënnerstëtzung
Ënnerstëtzung
1535
jenkins
jenkins
1360
Administrator
Passwuert
1241
root
12345
1177
pi
Hambier
1160
root
12345678
1126
root
123456789
1069
ubnt
ubnt
1069
Administrator
1234
1012
root
1234567890
967
ec2-Benotzer
ec2-Benotzer
963
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов.
Наибольшее число проверок, выполненных с одного IP, — 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
Source: opennet.ru