SSH: Resumen de estadísticas de acceso a honeypot

Publicaciones, Reportes

diciembre 14, 2015
a las 2:06 pm

Durante este año hemos dejado correr nuestros sistemas de honeypot por ssh, obteniendo las siguientes estadísticas:

Números de intentos durante el año 2015: 172102

Listado de claves con más de 100 intentos: (formato: #deintentos clave):

Como podemos observar, la clave más utilizada para entrar a los servidores via SSH ha sido «admin» (43.32% de todos los intentos), siguiendo, bastante de lejos la clave «123456» y la clave «root»

74570 admin
7148 123456
6671 root
4796
2700 password
2090 admin123
1513 ubnt
1452 12345
1329 1234
908 test
848 123
744 1
662 x33773x
638 changeme
606 1234567
580 123456789
576 guest
554 12345678
523 123qwe
517 user
504 letmein
495 111111
478 1q2w3e4r
452 a
413 raspberry
412 qwerty
412 qwe123
407 abc123
407 123123
383 asteriskftp
374 support
371 ubuntu
352 112233
348 zaq12wsx
348 Passw0rd
315 oracle
314 p@ssw0rd
293 P@ssw0rd
285 654321
284 abcd1234
281 linux
272 123321
271 centos
268 000000
257 D-Link
250 1qaz2wsx
247 p4ssw0rd
247 1qaz@WSX
239 1qazxsw2
238 default
237 Password1
237 1234qwer
234 Pa$$w0rd
234 1111
233 password1
230 0000
228 testing
227 temp
227 q1w2e3
227 102030
223 Pa55word
223 live
223 a1s2d3f4
223 159753
222 12qwaszx
221 q1w2e3r4t5
221 010203
220 testtest
220 qazwsxedc
220 123654
218 welcome
218 abcdef
218 753159
218 1122334455
218 101010
217 l3tm3in
217 030201
216 temp123
216 l3tm31n
216 2wsx3edc
215 server123
215 qweasd
215 drowssap
215 aaaaaa
214 1a2b3c
213 qazwsx123
213 P4ssw0rd
213 a123456
213 852456
213 753951
213 147258
212 xxx
212 p@ssword1
212 789789
212 456852
211 P@ssw0rd123
211 a12345
211 789456
211 741852963
211 3rddf

Usuarios por número de intentos (#deintentos usuario):

Como observaremos el usuario más probado es «admin» seguido por el usuario «root». Hay un foco interesante en usuarios que manejan el dinero (contabilidad) y de forma remota pero llamativa, intentos de entrar a sistemas Raspberry PI a través de su usuario por defecto (pi)

67368 admin
40854 root
4364 DUP
2665 contabilidad
1573 ubnt
1521 user
1389 test
1215 oracle
951 support
926 ftpuser
772 guest
761 git
734 postgres
588 pi
549 nagios
518 jenkins
423 minecraft
420 web
383 backup
374 info
357 hadoop
355 mysql
349 ftp
287 redmine
280 debian
276 apache
265 ubuntu
260 deploy
256 D-Link
251 webadmin
248 sshd
242 alex
240 developer
231 operator
227 jboss
225 www
218 a
213 bin
211 dff
203 linux
203 db2inst1
201 jira
200 zhangyan
195 svn
194 teamspeak
192 aion
184 PlcmSpIp
179 tomcat
177 ftptest
176 deployer
171 www-data
168 userftp
166 pos
165 clamav
165 bela
164 tamas
163 tunde
163 piroska
163 feri
162 peter
160 zita
158 viktor
158 openbravo
157 asterisk
155 bianka
155 andras
154 konstantin
154 gdm
154 bandi
154 attila
153 perfectit
153 jonathan
153 ida
153 avahi
152 zsolt
152 zoltan
152 slapic
152 shares
152 sari
152 helene
152 debolaci
152 csaba
152 akos
151 zsofia
151 whoopsie
151 szamlazo
151 salamon
151 reka
151 oszkar
151 mihaly
151 matyas
151 laszlo
151 janos
151 jani
151 gergo
151 dominik
151 david
151 balazs
151 aranka
151 aniko

Las IPs que más actividad tuvieron contra los honeypots fueron:

27534 208.72.87.x
10261 91.200.12.x
3485 113.59.33.x
2069 77.120.185.x
1942 195.154.181.x
1845 201.42.59.x
1419 80.82.64.x
1317 66.85.77.x
1220 91.121.254.x
1193 37.235.217.x
1183 200.242.94.x
1143 198.167.143.x
1105 59.41.39.x
1021 81.209.130.x
916 216.240.184.x
825 78.142.19.x
805 201.147.152.x
805 190.216.133.x
804 200.133.215.x
761 158.85.169.x
759 103.19.89.x
718 116.90.162.x
706 218.26.243.x
699 193.189.117.x
679 78.46.42.x
668 213.30.22.x
624 93.104.208.x
607 121.152.231.x
605 169.54.87.x
553 209.41.67.x
480 89.248.171.x
466 199.48.164.x
462 82.102.180.x
426 189.204.125.x
415 94.102.52.x
407 89.163.234.x
393 93.158.215.x
393 93.158.200.x
385 177.105.197.x
372 193.85.20.x
371 80.82.64.x
370 221.6.233.x
363 85.93.89.x
358 206.191.151.x
357 198.23.201.x
349 31.199.3.x
348 193.169.86.x
339 93.174.93.x
335 201.157.191.x
335 169.54.74.x
321 95.141.27.x
319 91.214.170.x
314 93.158.200.x
310 194.85.160.x
307 200.196.48.x
300 198.12.69.x
293 89.163.227.x
289 159.8.30.x
286 184.168.76.x
282 198.23.238.x
273 223.3.65.x
272 61.147.107.x
267 84.19.169.x
262 194.228.50.x
253 89.248.172.x
253 8.254.73.x
252 198.144.181.x
251 142.0.41.x
246 169.57.123.x
241 23.95.113.x
237 153.19.106.x
235 89.248.169.x
235 69.30.242.x
233 213.184.244.x
231 14.139.227.x
224 93.174.93.x
224 87.118.104.x
224 74.208.229.x
222 190.210.182.x
220 5.189.167.x
220 208.29.16.x
219 46.166.160.x
219 188.40.76.x
215 93.174.93.x
214 179.124.44.x
214 115.238.55.x
213 178.165.88.x
213 158.85.17.x
204 80.82.64.x
203 50.63.26.x
200 219.153.15.x
196 185.11.144.x
192 98.129.169.x
191 89.248.168.x
189 111.73.45.x
188 107.182.18.x
186 222.186.190.x
186 189.112.5.x
184 148.163.73.x
183 221.229.166.x

Correspondiéndose las primeras 10 a:

208.72.87.x, US, VA, AS16668 GBP Software, LLC

91.200.12.x, UA, AS35804 PP SKS-Lugan
113.59.33.x, CN, Hainan, Haikou, AS4837 CNCGROUP China169 Backbone
77.120.185.x, UA, AS25229 Kyivski Telekomunikatsiyni Merezhi LLC
195.154.181.x, FR, AS12876 ONLINE S.A.S.
201.42.59.x, BR, SP, AS27699 TELEFÔNICA BRASIL S.A
80.82.64.x, NL, AS29073 Ecatel Network
66.85.77.x, US, MO, AS19969 Joe’s Datacenter, LLC
91.121.254.x, FR, AS16276 OVH SAS
37.235.217.x, RU, Tambov, AS41268 LanTa ltd. AS

Para realizar este reporte se tomó la salida del honeypot y se guardó la fecha, el usuario y laclave. Se contaron los 100 usuarios y claves más utilizados por los intrusos.