результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как
Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попытки подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали «123456» и «password», но в десятку лидеров также вошёл пароль «J5cmmu=Kyf0-br8CsW», вероятно по умолчанию используемый каким-то производителем.
Наиболее популярные логины и пароли:
Ulufale
Число попыток
upu faʻalilolilo
Число попыток
aʻa
729108
40556
tufa
23302
123456
14542
tagata faʻaaogā
8420
tufa
7757
suʻega
7547
123
7355
tautalaga
6211
1234
7099
ftpuser
4012
aʻa
6999
ubuntu
3657
numera e le iloa e sesi
6118
mālō
3606
suʻega
5671
togi
3455
12345
5223
tagata faʻaoga
2876
mālō
4423
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
Ulufale
upu faʻalilolilo
Число попыток
aʻa
37580
aʻa
aʻa
4213
tagata faʻaaogā
tagata faʻaaogā
2794
aʻa
123456
2569
suʻega
suʻega
2532
tufa
tufa
2531
aʻa
tufa
2185
mālō
mālō
2143
aʻa
numera e le iloa e sesi
2128
tautalaga
tautalaga
1869
ubuntu
ubuntu
1811
aʻa
1234
1681
aʻa
123
1658
togi
togi
1594
lagolago
lagolago
1535
Jenkins
Jenkins
1360
tufa
numera e le iloa e sesi
1241
aʻa
12345
1177
pi
rasipolo
1160
aʻa
12345678
1126
aʻa
123456789
1069
ubnt
ubnt
1069
tufa
1234
1012
aʻa
1234567890
967
ec2-tagata fa'aoga
ec2-tagata fa'aoga
963
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов.
Наибольшее число проверок, выполненных с одного IP, — 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
puna: opennet.ru