rezultati analize napadov na ugibanje gesel za strežnike preko SSH. Med poskusom je bilo zagnanih več honeypotov, ki so se pretvarjali, da so dostopen strežnik OpenSSH in gostujejo v različnih omrežjih ponudnikov oblakov, kot je npr.
Google Cloud, DigitalOcean in NameCheap. V treh mesecih je bilo zabeleženih 929554 poskusov povezave s strežnikom.
V 78 % primerov je bilo iskanje namenjeno ugotavljanju gesla korenskega uporabnika. Najpogosteje preverjani gesli sta bili »123456« in »password«, med prvih deset pa je bilo tudi geslo »J5cmmu=Kyf0-br8CsW«, verjetno privzeto, ki ga uporablja kakšen proizvajalec.
Najbolj priljubljene prijave in gesla:
Prijava
Število poskusov
Geslo
Število poskusov
koren
729108
40556
admin
23302
123456
14542
uporabnik
8420
admin
7757
Test
7547
123
7355
Oracle
6211
1234
7099
ftpuser
4012
koren
6999
ubuntu
3657
geslo
6118
gost
3606
Test
5671
postgres
3455
12345
5223
uporabnik
2876
gost
4423
Iz analiziranih poskusov izbire je bilo identificiranih 128588 unikatnih parov prijava-geslo, 38112 pa smo jih poskušali preveriti 5 ali večkrat. 25 najpogosteje testiranih parov:
Prijava
Geslo
Število poskusov
koren
37580
koren
koren
4213
uporabnik
uporabnik
2794
koren
123456
2569
Test
Test
2532
admin
admin
2531
koren
admin
2185
gost
gost
2143
koren
geslo
2128
Oracle
Oracle
1869
ubuntu
ubuntu
1811
koren
1234
1681
koren
123
1658
postgres
postgres
1594
podpora
podpora
1535
jenkins
jenkins
1360
admin
geslo
1241
koren
12345
1177
pi
malina
1160
koren
12345678
1126
koren
123456789
1069
ubnt
ubnt
1069
admin
1234
1012
koren
1234567890
967
ec2-uporabnik
ec2-uporabnik
963
Porazdelitev poskusov skeniranja po dnevih v tednu in urah:
Skupno so zabeležili zahteve iz 27448 edinstvenih naslovov IP.
Največje število opravljenih pregledov z enega IP-ja je bilo 64969. Delež pregledov prek Torja je bil le 0.8-odstoten. 62.2 % naslovov IP, vključenih v izbor, je bilo povezanih s kitajskimi podomrežji:
Vir: opennet.ru