wyniki analizy ataków polegających na odgadywaniu haseł do serwerów poprzez SSH. Podczas eksperymentu uruchomiono kilka Honeypotów udających dostępny serwer OpenSSH i hostowanych w różnych sieciach dostawców usług w chmurze, takich jak
Google Cloud, DigitalOcean i NameCheap. W ciągu trzech miesięcy zarejestrowano 929554 XNUMX prób połączenia się z serwerem.
W 78% przypadków celem wyszukiwania było ustalenie hasła użytkownika root. Najczęściej sprawdzanymi hasłami były „123456” i „password”, ale w pierwszej dziesiątce znalazło się także hasło „J5cmmu=Kyf0-br8CsW”, prawdopodobnie domyślne używane przez niektórych producentów.
Najpopularniejsze loginy i hasła:
login
Liczba prób
hasło
Liczba prób
korzeń
729108
40556
Admin
23302
123456
14542
użytkownik
8420
Admin
7757
test
7547
123
7355
wyrocznia
6211
1234
7099
ftpuser
4012
korzeń
6999
ubuntu
3657
password
6118
gość
3606
test
5671
Postgres
3455
12345
5223
użytkownik
2876
gość
4423
Z analizowanych prób selekcji zidentyfikowano 128588 38112 unikalnych par login-hasło, z czego 5 25 z nich poddano próbie sprawdzenia XNUMX i więcej razy. XNUMX najczęściej testowanych par:
login
hasło
Liczba prób
korzeń
37580
korzeń
korzeń
4213
użytkownik
użytkownik
2794
korzeń
123456
2569
test
test
2532
Admin
Admin
2531
korzeń
Admin
2185
gość
gość
2143
korzeń
password
2128
wyrocznia
wyrocznia
1869
ubuntu
ubuntu
1811
korzeń
1234
1681
korzeń
123
1658
Postgres
Postgres
1594
wsparcie
wsparcie
1535
Jenkins
Jenkins
1360
Admin
password
1241
korzeń
12345
1177
pi
malina
1160
korzeń
12345678
1126
korzeń
123456789
1069
niezły
niezły
1069
Admin
1234
1012
korzeń
1234567890
967
użytkownik ec2
użytkownik ec2
963
Rozkład prób skanowania według dnia tygodnia i godziny:
Łącznie zarejestrowano żądania z 27448 XNUMX unikalnych adresów IP.
Najwięcej kontroli przeprowadzonych z jednego adresu IP wyniosło 64969. Udział kontroli przez Tora wyniósł zaledwie 0.8%. 62.2% adresów IP objętych selekcją było powiązanych z chińskimi podsieciami:
Źródło: opennet.ru