результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как
Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попытки подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали «123456» и «password», но в десятку лидеров также вошёл пароль «J5cmmu=Kyf0-br8CsW», вероятно по умолчанию используемый каким-то производителем.
Наиболее популярные логины и пароли:
giriş
Число попыток
şifre
Число попыток
kök
729108
40556
Gizem
23302
123456
14542
kullanıcı
8420
Gizem
7757
test
7547
123
7355
kehanet
6211
1234
7099
ftpuser
4012
kök
6999
ubuntu
3657
şifre
6118
konuk
3606
test
5671
postgres
3455
12345
5223
kullanıcı
2876
konuk
4423
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
giriş
şifre
Число попыток
kök
37580
kök
kök
4213
kullanıcı
kullanıcı
2794
kök
123456
2569
test
test
2532
Gizem
Gizem
2531
kök
Gizem
2185
konuk
konuk
2143
kök
şifre
2128
kehanet
kehanet
1869
ubuntu
ubuntu
1811
kök
1234
1681
kök
123
1658
postgres
postgres
1594
destek
destek
1535
Jenkins
Jenkins
1360
Gizem
şifre
1241
kök
12345
1177
pi
ahududu
1160
kök
12345678
1126
kök
123456789
1069
ubnt
ubnt
1069
Gizem
1234
1012
kök
1234567890
967
ec2-kullanıcı
ec2-kullanıcı
963
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов.
Наибольшее число проверок, выполненных с одного IP, — 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
Kaynak: opennet.ru