Опубликованы результаты анализа атак, связанных с подбором паролей к серверам по SSH. В ходе эксперимента было запущено несколько ловушек (honeypot), притворяющихся доступным сервером OpenSSH и размещённых в различных сетях облачных провайдеров, таких как Google Cloud, DigitalOcean и NameCheap. За три месяца было зафиксировано 929554 попыток подключения к серверу.
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали "123456" и "password", но в десятку лидеров также вошёл пароль "J5cmmu=Kyf0-br8CsW", вероятно по умолчанию используемый каким-то производителем. Наиболее популярные логины и пароли:
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов. Наибольшее число проверок, выполненных с одного IP, - 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
• Source: https://systemoverlord.com/2020/09/04/lessons-learned-from-ssh-credential-honeypots.html
В 78% случаях подбор был нацелен на определение пароля пользователя root. Наиболее часто проверяемыми паролями стали "123456" и "password", но в десятку лидеров также вошёл пароль "J5cmmu=Kyf0-br8CsW", вероятно по умолчанию используемый каким-то производителем. Наиболее популярные логины и пароли:
Из проанализированных попыток подбора было выявлено 128588 уникальных пар логин-пароль, при том что 38112 из них пытались проверить 5 и более раз. 25 наиболее часто проверяемых пар:
Распределение попыток сканирования по дням недели и часам:
Всего было зафиксировано обращение с 27448 уникальных IP-адресов. Наибольшее число проверок, выполненных с одного IP, - 64969. Доля проверок через Tor составила всего 0.8%. 62.2% IP-адресов, участвующих в подборе, были связаны с китайскими подсетями:
• Source: https://systemoverlord.com/2020/09/04/lessons-learned-from-ssh-credential-honeypots.html