Prohoster > Blog > tin tức mạng > Phân tích hoạt động của kẻ tấn công liên quan đến đoán mật khẩu qua SSH

Phân tích hoạt động của kẻ tấn công liên quan đến đoán mật khẩu qua SSH

Được phát hành kết quả phân tích các cuộc tấn công liên quan đến đoán mật khẩu cho máy chủ thông qua SSH. Trong quá trình thử nghiệm, một số honeypot đã được khởi chạy, giả vờ là một máy chủ OpenSSH có thể truy cập được và được lưu trữ trên nhiều mạng của các nhà cung cấp đám mây, chẳng hạn như
Google Cloud, DigitalOcean và NameCheap. Trong ba tháng, 929554 lần thử kết nối với máy chủ đã được ghi lại.

Trong 78% trường hợp, việc tìm kiếm nhằm mục đích xác định mật khẩu của người dùng root. Mật khẩu được kiểm tra thường xuyên nhất là “123456” và “password”, nhưng top 5 cũng bao gồm mật khẩu “J0cmmu=Kyf8-brXNUMXCsW”, có lẽ là mật khẩu mặc định được một số nhà sản xuất sử dụng.

Thông tin đăng nhập và mật khẩu phổ biến nhất:

đăng nhập
Số lần thử
mật khẩu
Số lần thử

nguồn gốc
729108

40556

quản trị viên
23302
123456
14542

người sử dụng
8420
quản trị viên
7757

thử nghiệm
7547
123
7355

oracle
6211
1234
7099

ftpuser
4012
nguồn gốc
6999

ubuntu
3657
mật khẩu
6118

khách sạn
3606
thử nghiệm
5671

bưu điện
3455
12345
5223

người sử dụng
2876
khách sạn
4423

Từ các nỗ lực lựa chọn được phân tích, 128588 cặp mật khẩu đăng nhập duy nhất đã được xác định, trong khi 38112 cặp trong số đó đã được thử kiểm tra 5 lần trở lên. 25 cặp được kiểm tra thường xuyên nhất:

đăng nhập
mật khẩu
Số lần thử

nguồn gốc
 
37580

nguồn gốc
nguồn gốc
4213

người sử dụng
người sử dụng
2794

nguồn gốc
123456
2569

thử nghiệm
thử nghiệm
2532

quản trị viên
quản trị viên
2531

nguồn gốc
quản trị viên
2185

khách sạn
khách sạn
2143

nguồn gốc
mật khẩu
2128

oracle
oracle
1869

ubuntu
ubuntu
1811

nguồn gốc
1234
1681

nguồn gốc
123
1658

bưu điện
bưu điện
1594

hỗ trợ
hỗ trợ
1535

jenkins
jenkins
1360

quản trị viên
mật khẩu
1241

nguồn gốc
12345
1177

pi
mâm xôi
1160

nguồn gốc
12345678
1126

nguồn gốc
123456789
1069

không có gì
không có gì
1069

quản trị viên
1234
1012

nguồn gốc
1234567890
967

ec2-user
ec2-user
963

Phân phối số lần quét theo ngày trong tuần và giờ:

Phân tích hoạt động của kẻ tấn công liên quan đến đoán mật khẩu qua SSH

Phân tích hoạt động của kẻ tấn công liên quan đến đoán mật khẩu qua SSH

Tổng cộng, yêu cầu từ 27448 địa chỉ IP duy nhất đã được ghi lại.
Số lượng kiểm tra lớn nhất được thực hiện từ một IP là 64969. Tỷ lệ kiểm tra qua Tor chỉ là 0.8%. 62.2% địa chỉ IP liên quan đến việc lựa chọn được liên kết với các mạng con của Trung Quốc:

Phân tích hoạt động của kẻ tấn công liên quan đến đoán mật khẩu qua SSH

Nguồn: opennet.ru

Thêm một lời nhận xét