результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как
Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попытки подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали «123456» и «password», но в десятку лидеров также вошёл пароль «J5cmmu=Kyf0-br8CsW», вероятно по умолчанию используемый каким-то производителем.
Наиболее популярные логины и пароли:
Vartotojas
Число попыток
slaptažodis
Число попыток
šaknis
729108
40556
VYTEGA
23302
123456
14542
vartotojas
8420
VYTEGA
7757
testas
7547
123
7355
orakulas
6211
1234
7099
ftpuser
4012
šaknis
6999
ubuntu
3657
slaptažodis
6118
svečias
3606
testas
5671
postgres
3455
12345
5223
vartotojas
2876
svečias
4423
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
Vartotojas
slaptažodis
Число попыток
šaknis
37580
šaknis
šaknis
4213
vartotojas
vartotojas
2794
šaknis
123456
2569
testas
testas
2532
VYTEGA
VYTEGA
2531
šaknis
VYTEGA
2185
svečias
svečias
2143
šaknis
slaptažodis
2128
orakulas
orakulas
1869
ubuntu
ubuntu
1811
šaknis
1234
1681
šaknis
123
1658
postgres
postgres
1594
parama
parama
1535
Jenkins
Jenkins
1360
VYTEGA
slaptažodis
1241
šaknis
12345
1177
pi
avietė
1160
šaknis
12345678
1126
šaknis
123456789
1069
ubnt
ubnt
1069
VYTEGA
1234
1012
šaknis
1234567890
967
ec2 vartotojas
ec2 vartotojas
963
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов.
Наибольшее число проверок, выполненных с одного IP, — 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
Šaltinis: opennet.ru