ProHoster > Blog > lajme në internet > Analiza e aktivitetit të sulmuesit në lidhje me gjetjen e fjalëkalimit nëpërmjet SSH

Analiza e aktivitetit të sulmuesit në lidhje me gjetjen e fjalëkalimit nëpërmjet SSH

Publikuar rezultatet e analizës së sulmeve në lidhje me gjetjen e fjalëkalimit për serverët përmes SSH. Gjatë eksperimentit, u lansuan disa honeypots, duke pretenduar të ishin një server OpenSSH i aksesueshëm dhe të pritur në rrjete të ndryshme ofruesish cloud, si p.sh.
Google Cloud, DigitalOcean dhe NameCheap. Gjatë tre muajve, u regjistruan 929554 përpjekje për t'u lidhur me serverin.

Në 78% të rasteve, kërkimi kishte për qëllim përcaktimin e fjalëkalimit të përdoruesit rrënjë. Fjalëkalimet e kontrolluara më shpesh ishin "123456" dhe "fjalëkalimi", por në dhjetëshen e parë përfshihej edhe fjalëkalimi "J5cmmu=Kyf0-br8CsW", ndoshta ai i paracaktuar i përdorur nga disa prodhues.

Hyrjet dhe fjalëkalimet më të njohura:

Hyrje
Numri i përpjekjeve
Fjalëkalimi
Numri i përpjekjeve

rrënjë
729108

40556

admin
23302
123456
14542

përdorues
8420
admin
7757

provë
7547
123
7355

orakull
6211
1234
7099

ftpuser
4012
rrënjë
6999

ubuntu
3657
Fjalëkalimi
6118

mysafir
3606
provë
5671

postgres
3455
12345
5223

përdorues
2876
mysafir
4423

Nga përpjekjet e analizuara të përzgjedhjes, u identifikuan 128588 çifte unike hyrje-fjalëkalim, ndërsa 38112 prej tyre u provuan të kontrolloheshin 5 ose më shumë herë. 25 çiftet e testuara më shpesh:

Hyrje
Fjalëkalimi
Numri i përpjekjeve

rrënjë
 
37580

rrënjë
rrënjë
4213

përdorues
përdorues
2794

rrënjë
123456
2569

provë
provë
2532

admin
admin
2531

rrënjë
admin
2185

mysafir
mysafir
2143

rrënjë
Fjalëkalimi
2128

orakull
orakull
1869

ubuntu
ubuntu
1811

rrënjë
1234
1681

rrënjë
123
1658

postgres
postgres
1594

mbështetje
mbështetje
1535

Jenkins
Jenkins
1360

admin
Fjalëkalimi
1241

rrënjë
12345
1177

pi
mjedër
1160

rrënjë
12345678
1126

rrënjë
123456789
1069

i ndezur
i ndezur
1069

admin
1234
1012

rrënjë
1234567890
967

ec2-përdorues
ec2-përdorues
963

Shpërndarja e përpjekjeve të skanimit sipas ditës së javës dhe orës:

Analiza e aktivitetit të sulmuesit në lidhje me gjetjen e fjalëkalimit nëpërmjet SSH

Analiza e aktivitetit të sulmuesit në lidhje me gjetjen e fjalëkalimit nëpërmjet SSH

Në total, u regjistruan kërkesa nga 27448 adresa IP unike.
Numri më i madh i kontrolleve të kryera nga një IP ishte 64969. Pjesa e kontrolleve nëpërmjet Tor ishte vetëm 0.8%. 62.2% e adresave IP të përfshira në përzgjedhje ishin të lidhura me nënrrjetet kineze:

Analiza e aktivitetit të sulmuesit në lidhje me gjetjen e fjalëkalimit nëpërmjet SSH

Burimi: opennet.ru

Shto një koment