resultados da análise de ataques relacionados à seleção de senhas para servidores via SSH. Durante o experimento, várias armadilhas (honeypot) foram lançadas, fingindo ser um servidor OpenSSH disponível e hospedado em várias redes de provedores de nuvem, como
Google Cloud, DigitalOcean e NameCheap. Durante três meses, foram registradas 929554 tentativas de conexão com o servidor.
Em 78% dos casos, o ataque teve como objetivo determinar a senha do usuário root. As senhas verificadas com mais frequência foram "123456" e "password", mas as dez primeiras também incluíram a senha "J5cmmu=Kyf0-br8CsW", provavelmente usada por algum fabricante por padrão.
Os logins e senhas mais populares:
login
Número de tentativas
senha
Número de tentativas
raiz
729108
40556
admin
23302
123456
14542
usuário
8420
admin
7757
teste
7547
123
7355
oráculo
6211
1234
7099
ftpuser
4012
raiz
6999
ubuntu
3657
senha
6118
convidado
3606
teste
5671
postgres
3455
12345
5223
usuário
2876
convidado
4423
Das tentativas analisadas, 128588 pares únicos de login-senha foram identificados, enquanto 38112 deles tentaram verificar 5 ou mais vezes. 25 casais verificados com mais frequência:
login
senha
Número de tentativas
raiz
37580
raiz
raiz
4213
usuário
usuário
2794
raiz
123456
2569
teste
teste
2532
admin
admin
2531
raiz
admin
2185
convidado
convidado
2143
raiz
senha
2128
oráculo
oráculo
1869
ubuntu
ubuntu
1811
raiz
1234
1681
raiz
123
1658
postgres
postgres
1594
ajuda
ajuda
1535
jenkins
jenkins
1360
admin
senha
1241
raiz
12345
1177
pi
framboesa
1160
raiz
12345678
1126
raiz
123456789
1069
ubnt
ubnt
1069
admin
1234
1012
raiz
1234567890
967
usuário ec2
usuário ec2
963
Distribuição das tentativas de varredura por dias da semana e horas:
Um total de 27448 endereços IP exclusivos foram registrados.
O maior número de verificações realizadas a partir de um IP é 64969. A parcela de verificações via Tor foi de apenas 0.8%. 62.2% dos endereços IP participantes da seleção foram associados a sub-redes chinesas:
Fonte: opennet.ru