výsledky analýzy útokov súvisiacich s hádaním hesiel pre servery cez SSH. Počas experimentu bolo spustených niekoľko honeypotov vydávajúcich sa za prístupný OpenSSH server a hosťované na rôznych sieťach cloudových poskytovateľov, ako napr.
Google Cloud, DigitalOcean a NameCheap. Počas troch mesiacov bolo zaznamenaných 929554 XNUMX pokusov o pripojenie k serveru.
V 78 % prípadov bolo vyhľadávanie zamerané na určenie hesla používateľa root. Najčastejšie kontrolované heslá boli „123456“ a „password“, ale v prvej desiatke bolo aj heslo „J5cmmu=Kyf0-br8CsW“, pravdepodobne predvolené, ktoré používa nejaký výrobca.
Najpopulárnejšie prihlasovacie údaje a heslá:
Prihlásenie
Počet pokusov
Heslo
Počet pokusov
koreň
729108
40556
admin
23302
123456
14542
užívateľ
8420
admin
7757
test
7547
123
7355
veštec
6211
1234
7099
ftpuser
4012
koreň
6999
ubuntu
3657
heslo
6118
host
3606
test
5671
postgres
3455
12345
5223
užívateľ
2876
host
4423
Z analyzovaných pokusov o výber bolo identifikovaných 128588 38112 jedinečných párov prihlasovacie heslo, pričom 5 25 z nich sa pokúsilo skontrolovať XNUMX a viackrát. XNUMX najčastejšie testovaných párov:
Prihlásenie
Heslo
Počet pokusov
koreň
37580
koreň
koreň
4213
užívateľ
užívateľ
2794
koreň
123456
2569
test
test
2532
admin
admin
2531
koreň
admin
2185
host
host
2143
koreň
heslo
2128
veštec
veštec
1869
ubuntu
ubuntu
1811
koreň
1234
1681
koreň
123
1658
postgres
postgres
1594
podpora
podpora
1535
Jenkins
Jenkins
1360
admin
heslo
1241
koreň
12345
1177
pi
malina
1160
koreň
12345678
1126
koreň
123456789
1069
ubnt
ubnt
1069
admin
1234
1012
koreň
1234567890
967
ec2-user
ec2-user
963
Rozdelenie pokusov o skenovanie podľa dňa v týždni a hodiny:
Celkovo boli zaznamenané požiadavky z 27448 XNUMX unikátnych IP adries.
Najväčší počet vykonaných kontrol z jedného IP bol 64969. Podiel kontrol cez Tor bol len 0.8 %. 62.2 % adries IP zapojených do výberu bolo spojených s čínskymi podsieťami:
Zdroj: opennet.ru