результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как
Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попытки подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали «123456» и «password», но в десятку лидеров также вошёл пароль «J5cmmu=Kyf0-br8CsW», вероятно по умолчанию используемый каким-то производителем.
Наиболее популярные логины и пароли:
prijava
Число попыток
лозинка
Число попыток
корен
729108
40556
Администратор
23302
123456
14542
корисник
8420
Администратор
7757
тест
7547
123
7355
пророчанство
6211
1234
7099
ftpuser
4012
корен
6999
Убунту
3657
лозинка
6118
гост
3606
тест
5671
постгрес
3455
12345
5223
корисник
2876
гост
4423
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
prijava
лозинка
Число попыток
корен
37580
корен
корен
4213
корисник
корисник
2794
корен
123456
2569
тест
тест
2532
Администратор
Администратор
2531
корен
Администратор
2185
гост
гост
2143
корен
лозинка
2128
пророчанство
пророчанство
1869
Убунту
Убунту
1811
корен
1234
1681
корен
123
1658
постгрес
постгрес
1594
подршка
подршка
1535
јенкинс
јенкинс
1360
Администратор
лозинка
1241
корен
12345
1177
pi
малина
1160
корен
12345678
1126
корен
123456789
1069
убнт
убнт
1069
Администратор
1234
1012
корен
1234567890
967
ец2-корисник
ец2-корисник
963
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов.
Наибольшее число проверок, выполненных с одного IP, — 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
Извор: опеннет.ру