The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Usuarios y passwords más atacados de un SSH by Jordi Prats

Desde hace más de 6 meses, tengo un honeypot kippo instalado. En los logs de kippo podemos ver el usuario y contraseña que intentan:

 

En los logs veremos:

2013-01-10 01:42:16-0500 [kippo.core.honeypot.HoneyPotSSHFactory] New connection: 172.19.10.1:35005 (172.19.10.6:2222) [session: 4957]
2013-01-10 01:42:17-0500 [HoneyPotTransport,4957,172.19.10.1] Remote SSH version: SSH-2.0-libssh-0.1
2013-01-10 01:42:17-0500 [HoneyPotTransport,4957,172.19.10.1] kex alg, key alg: diffie-hellman-group1-sha1 ssh-rsa
2013-01-10 01:42:17-0500 [HoneyPotTransport,4957,172.19.10.1] outgoing: aes256-cbc hmac-sha1 none
2013-01-10 01:42:17-0500 [HoneyPotTransport,4957,172.19.10.1] incoming: aes256-cbc hmac-sha1 none
2013-01-10 01:42:18-0500 [HoneyPotTransport,4957,172.19.10.1] NEW KEYS
2013-01-10 01:42:18-0500 [HoneyPotTransport,4957,172.19.10.1] starting service ssh-userauth
2013-01-10 01:42:18-0500 [SSHService ssh-userauth on HoneyPotTransport,4957,172.19.10.1] root trying auth password
2013-01-10 01:42:18-0500 [SSHService ssh-userauth on HoneyPotTransport,4957,172.19.10.1] login attempt [root/brentley] failed
2013-01-10 01:42:19-0500 [-] root failed auth password
2013-01-10 01:42:19-0500 [-] unauthorized login: 
2013-01-10 01:42:20-0500 [HoneyPotTransport,4957,172.19.10.1] Got remote error, code 11
	reason: Bye Bye
2013-01-10 01:42:20-0500 [HoneyPotTransport,4957,172.19.10.1] connection lost

Parseando estos logs, podemos el top 25 de usuarios atacados en este honeypot, siendo root el más atacado con diferencia:

  26737 root
   1162 test
    866 admin
    670 nagios
    557 ftptest
    508 oracle
    474 user
    437 www
    414 mysql
    410 postgres
    379 guest
    350 info
    315 ftp
    302 teamspeak
    285 bin
    283 testuser
    263 support
    254 ts3
    240 ts
    226 tomcat
    221 web
    210 ftpguest
    202 ftpuser
    193 temp
    190 svn

Por lo que respecta a contraseñas hay menos diferencia:

    909 123456
    794 changeme
    410 password
    384 123
    328 12345
    317 test
    311 1234
    257 root
    223 Password1
    158 password1
    157 P@ssw0rd
    154 private
    152 p4ssw0rd
    151 p@ssw0rd
    148 Passw0rd
    146 P4ssw0rd
    145 Pa$$w0rd
    145 P@55w0rd
    145 abc123
    142 temp123
    140 zaq12wsx
    139 123123
    134 12345678
    132 letmein
    129 1234567

Mirando con detalle las contraseñas resultan curiosas algunas muy repetidas:

     34 7hur@y@t3am$#@!(*(
     21 Fum4tulP0@t3Uc1d3R4uD3T0t!@#$%^%^&*?
     19 mucleus.caca.root
     17 BUNdAS@#$RT%GQ~EQW#%^QW
     14 QQAAZZwwssxx!!@@##
(...)

Entiendo que estos intentos repetidos corresponden a un escaneo en busca de equipos ya infectados con un malware que cambia el password de root, añade un usuario o modifica el sshd para que acepte dichas contraseñas.

Tags: 

Relacionados


Usuarios y passwords más atacados de un SSH was first posted on January 10, 2013 at 9:12 am.

Comments are closed.