ProHoster > blog > internetnieuws > Analyse van de activiteit van aanvallers in verband met de selectie van wachtwoorden via SSH

Analyse van de activiteit van aanvallers in verband met de selectie van wachtwoorden via SSH

Gepubliceerd resultaten van analyse van aanvallen gerelateerd aan het raden van wachtwoorden voor servers via SSH. Tijdens het experiment werden verschillende honeypots gelanceerd, die zich voordeden als een toegankelijke OpenSSH-server en gehost werden op verschillende netwerken van cloudproviders, zoals
Google Cloud, DigitalOcean en NameCheap. Gedurende drie maanden werden 929554 pogingen om verbinding te maken met de server geregistreerd.

In 78% van de gevallen was de zoekopdracht gericht op het achterhalen van het wachtwoord van de rootgebruiker. De meest gecontroleerde wachtwoorden waren “123456” en “wachtwoord”, maar de top tien bevatte ook het wachtwoord “J5cmmu=Kyf0-br8CsW”, waarschijnlijk het standaardwachtwoord dat door sommige fabrikanten wordt gebruikt.

De meest populaire logins en wachtwoorden:

login
Aantal pogingen
wachtwoord
Aantal pogingen

wortel
729108

40556

beheerder
23302
123456
14542

gebruiker
8420
beheerder
7757

proef
7547
123
7355

orakel
6211
1234
7099

ftpgebruiker
4012
wortel
6999

ubuntu
3657
wachtwoord
6118

gast
3606
proef
5671

postgres
3455
12345
5223

gebruiker
2876
gast
4423

Uit de geanalyseerde selectiepogingen werden 128588 unieke login-wachtwoordparen geïdentificeerd, terwijl van 38112 daarvan vijf of meer keren werd geprobeerd te controleren. 5 meest geteste paren:

login
wachtwoord
Aantal pogingen

wortel
 
37580

wortel
wortel
4213

gebruiker
gebruiker
2794

wortel
123456
2569

proef
proef
2532

beheerder
beheerder
2531

wortel
beheerder
2185

gast
gast
2143

wortel
wachtwoord
2128

orakel
orakel
1869

ubuntu
ubuntu
1811

wortel
1234
1681

wortel
123
1658

postgres
postgres
1594

ondersteuning
ondersteuning
1535

jenkins
jenkins
1360

beheerder
wachtwoord
1241

wortel
12345
1177

pi
framboos
1160

wortel
12345678
1126

wortel
123456789
1069

ubnt
ubnt
1069

beheerder
1234
1012

wortel
1234567890
967

ec2-user
ec2-user
963

Verdeling van scanpogingen per dag van de week en uur:

Analyse van de activiteit van aanvallers in verband met de selectie van wachtwoorden via SSH

Analyse van de activiteit van aanvallers in verband met de selectie van wachtwoorden via SSH

In totaal werden verzoeken van 27448 unieke IP-adressen geregistreerd.
Het grootste aantal controles dat vanuit één IP werd uitgevoerd was 64969. Het aandeel controles via Tor bedroeg slechts 0.8%. 62.2% van de IP-adressen die bij de selectie betrokken waren, waren geassocieerd met Chinese subnetten:

Analyse van de activiteit van aanvallers in verband met de selectie van wachtwoorden via SSH

Bron: opennet.ru

Voeg een reactie