ผลการวิเคราะห์การโจมตีที่เกี่ยวข้องกับการเดารหัสผ่านสำหรับเซิร์ฟเวอร์ผ่าน SSH ในระหว่างการทดลอง มีการเปิดตัว honeypot หลายตัว โดยอ้างว่าเป็นเซิร์ฟเวอร์ OpenSSH ที่สามารถเข้าถึงได้และโฮสต์บนเครือข่ายของผู้ให้บริการคลาวด์ต่างๆ เช่น
Google Cloud, DigitalOcean และ NameCheap ในช่วงสามเดือน มีการบันทึกความพยายามเชื่อมต่อกับเซิร์ฟเวอร์ 929554 ครั้ง
ใน 78% ของกรณี การค้นหามีวัตถุประสงค์เพื่อกำหนดรหัสผ่านของผู้ใช้รูท รหัสผ่านที่ตรวจสอบบ่อยที่สุดคือ “123456” และ “รหัสผ่าน” แต่รหัสผ่านสิบอันดับแรกยังรวมรหัสผ่าน “J5cmmu=Kyf0-br8CsW” ด้วย ซึ่งอาจเป็นรหัสผ่านเริ่มต้นที่ผู้ผลิตบางรายใช้
ข้อมูลเข้าสู่ระบบและรหัสผ่านยอดนิยม:
เข้าสู่ระบบ
จำนวนครั้งที่พยายาม
รหัสผ่าน
จำนวนครั้งที่พยายาม
ราก
729108
40556
ผู้ดูแลระบบ
23302
123456
14542
ผู้ใช้งาน
8420
ผู้ดูแลระบบ
7757
ทดสอบ
7547
123
7355
คำพยากรณ์
6211
1234
7099
ftpuser
4012
ราก
6999
อูบุนตู
3657
รหัสผ่าน
6118
ผู้เข้าพัก
3606
ทดสอบ
5671
postgres
3455
12345
5223
ผู้ใช้งาน
2876
ผู้เข้าพัก
4423
จากความพยายามในการเลือกที่วิเคราะห์ พบคู่ล็อกอินและรหัสผ่านที่ไม่ซ้ำกัน 128588 คู่ ในขณะที่ 38112 คู่พยายามตรวจสอบ 5 ครั้งขึ้นไป 25 คู่ทดสอบบ่อยที่สุด:
เข้าสู่ระบบ
รหัสผ่าน
จำนวนครั้งที่พยายาม
ราก
37580
ราก
ราก
4213
ผู้ใช้งาน
ผู้ใช้งาน
2794
ราก
123456
2569
ทดสอบ
ทดสอบ
2532
ผู้ดูแลระบบ
ผู้ดูแลระบบ
2531
ราก
ผู้ดูแลระบบ
2185
ผู้เข้าพัก
ผู้เข้าพัก
2143
ราก
รหัสผ่าน
2128
คำพยากรณ์
คำพยากรณ์
1869
อูบุนตู
อูบุนตู
1811
ราก
1234
1681
ราก
123
1658
postgres
postgres
1594
สนับสนุน
สนับสนุน
1535
เจนกินส์
เจนกินส์
1360
ผู้ดูแลระบบ
รหัสผ่าน
1241
ราก
12345
1177
pi
ราสเบอร์รี่
1160
ราก
12345678
1126
ราก
123456789
1069
ไม่
ไม่
1069
ผู้ดูแลระบบ
1234
1012
ราก
1234567890
967
ec2 ผู้ใช้
ec2 ผู้ใช้
963
การกระจายความพยายามในการสแกนตามวันในสัปดาห์และชั่วโมง:
โดยรวมแล้ว มีการบันทึกคำขอจากที่อยู่ IP ที่ไม่ซ้ำกัน 27448 รายการ
จำนวนการตรวจสอบที่ใหญ่ที่สุดที่ดำเนินการจากหนึ่ง IP คือ 64969 ส่วนแบ่งของการตรวจสอบผ่าน Tor มีเพียง 0.8% 62.2% ของที่อยู่ IP ที่เกี่ยวข้องกับการเลือกนั้นเชื่อมโยงกับซับเน็ตภาษาจีน:
ที่มา: opennet.ru