ProHoster > Blog > balita sa internet > Pagsusuri ng aktibidad ng attacker na nauugnay sa paghula ng password sa pamamagitan ng SSH

Pagsusuri ng aktibidad ng attacker na nauugnay sa paghula ng password sa pamamagitan ng SSH

Nai-publish mga resulta ng pagsusuri ng mga pag-atake na may kaugnayan sa paghula ng password para sa mga server sa pamamagitan ng SSH. Sa panahon ng eksperimento, maraming honeypot ang inilunsad, na nagpapanggap bilang isang naa-access na OpenSSH server at naka-host sa iba't ibang network ng mga cloud provider, tulad ng
Google Cloud, DigitalOcean at NameCheap. Sa loob ng tatlong buwan, 929554 na pagtatangka na kumonekta sa server ang naitala.

Sa 78% ng mga kaso, ang paghahanap ay naglalayong matukoy ang password ng root user. Ang pinakamadalas na sinusuri na mga password ay "123456" at "password", ngunit kasama rin sa nangungunang sampung ang password na "J5cmmu=Kyf0-br8CsW", marahil ang default na ginagamit ng ilang tagagawa.

Ang pinakasikat na mga login at password:

Login
Bilang ng mga pagtatangka
password
Bilang ng mga pagtatangka

ugat
729108

40556

admin
23302
123456
14542

gumagamit
8420
admin
7757

pagsusulit
7547
123
7355

orakulo
6211
1234
7099

ftpuser
4012
ugat
6999

Ubuntu
3657
password
6118

bisita
3606
pagsusulit
5671

postgres
3455
12345
5223

gumagamit
2876
bisita
4423

Mula sa nasuri na mga pagtatangka sa pagpili, 128588 natatanging pares ng login-password ang natukoy, habang 38112 sa kanila ang sinubukang suriin ng 5 o higit pang beses. 25 pinaka madalas na sinusubok na mga pares:

Login
password
Bilang ng mga pagtatangka

ugat
 
37580

ugat
ugat
4213

gumagamit
gumagamit
2794

ugat
123456
2569

pagsusulit
pagsusulit
2532

admin
admin
2531

ugat
admin
2185

bisita
bisita
2143

ugat
password
2128

orakulo
orakulo
1869

Ubuntu
Ubuntu
1811

ugat
1234
1681

ugat
123
1658

postgres
postgres
1594

suportahan
suportahan
1535

jenkins
jenkins
1360

admin
password
1241

ugat
12345
1177

pi
prambuwesas
1160

ugat
12345678
1126

ugat
123456789
1069

ubnt
ubnt
1069

admin
1234
1012

ugat
1234567890
967

ec2-user
ec2-user
963

Pamamahagi ng mga pagsubok sa pag-scan ayon sa araw ng linggo at oras:

Pagsusuri ng aktibidad ng attacker na nauugnay sa paghula ng password sa pamamagitan ng SSH

Pagsusuri ng aktibidad ng attacker na nauugnay sa paghula ng password sa pamamagitan ng SSH

Sa kabuuan, naitala ang mga kahilingan mula sa 27448 natatanging IP address.
Ang pinakamalaking bilang ng mga pagsusuring ginawa mula sa isang IP ay 64969. Ang bahagi ng mga pagsusuri sa pamamagitan ng Tor ay 0.8% lamang. 62.2% ng mga IP address na kasangkot sa pagpili ay nauugnay sa mga subnet na Tsino:

Pagsusuri ng aktibidad ng attacker na nauugnay sa paghula ng password sa pamamagitan ng SSH

Pinagmulan: opennet.ru

Magdagdag ng komento