通过 SSH 猜测服务器密码相关攻击的分析结果。 在实验过程中,启动了多个蜜罐,伪装成可访问的 OpenSSH 服务器并托管在各种云提供商的网络上,例如
谷歌云、DigitalOcean 和 NameCheap。 三个月内,记录了 929554 次连接服务器的尝试。
在 78% 的情况下,搜索的目的是确定 root 用户的密码。 最常检查的密码是“123456”和“password”,但前十名还包括密码“J5cmmu=Kyf0-br8CsW”,这可能是某些制造商使用的默认密码。
最流行的登录名和密码:
Логин
尝试次数
新密码
尝试次数
根
729108
40556
管理员
23302
123456
14542
用户
8420
管理员
7757
test
7547
123
7355
神谕
6211
1234
7099
ftp用户
4012
根
6999
Ubuntu的
3657
密码
6118
客人
3606
test
5671
Postgres的
3455
12345
5223
用户
2876
客人
4423
从分析的选择尝试中,识别出 128588 个唯一的登录密码对,其中 38112 个被尝试检查 5 次或更多次。 25 个最常测试的对:
Логин
新密码
尝试次数
根
37580
根
根
4213
用户
用户
2794
根
123456
2569
test
test
2532
管理员
管理员
2531
根
管理员
2185
客人
客人
2143
根
密码
2128
神谕
神谕
1869
Ubuntu的
Ubuntu的
1811
根
1234
1681
根
123
1658
Postgres的
Postgres的
1594
SUPPORT
SUPPORT
1535
詹金斯
詹金斯
1360
管理员
密码
1241
根
12345
1177
pi
覆盆子
1160
根
12345678
1126
根
123456789
1069
UBNT
UBNT
1069
管理员
1234
1012
根
1234567890
967
ec2用户
ec2用户
963
按星期几和小时划分的扫描尝试分布:
总共记录了来自 27448 个唯一 IP 地址的请求。
从一个 IP 执行的检查数量最多为 64969。通过 Tor 进行的检查比例仅为 0.8%。 参与选择的 IP 地址中有 62.2% 与中国子网相关:
来源: opennet.ru