在去年 (2008-05-30) 做過一次 SSH入侵嘗試所使用的密碼蒐集記錄 之後,
本週(2009-04-10~2009-04-18)又做了一次針對SSHD (TCP/22)的暴力入侵嘗試帳號/密碼蒐集.
從 2009-04-10 到 2009-04-18 總共蒐集到 10,538 次的入侵帳密嘗試
依據來源IP/次數統計,共有36個IP,排序如下
| ip | 次數 | 國家/地區 |
| 59.179.244.5 | 2257 | 印度 |
| 211.44.250.235 | 1420 | 韓國 |
| 58.62.125.162 | 1365 | 中國廣東省廣州市 |
| 122.117.101.25 | 893 | 臺灣 中華電信 |
| 202.125.47.222 | 848 | 澳大利亞 |
| 82.87.10.24 | 713 | 西班牙 |
| 61.152.169.68 | 669 | 中國上海市 |
| 60.220.248.57 | 610 | 中國山西省長治市 |
| 59.124.0.194 | 482 | 臺灣 中華電信 |
| 200.49.156.246 | 343 | 巴西 |
| 203.110.208.68 | 223 | 印度 |
| 204.15.194.76 | 118 | 美國 |
| 193.194.81.53 | 109 | 阿爾及利亞 |
| 222.218.156.41 | 107 | 廣西北海市 |
| 218.1.118.69 | 57 | 中國上海市 |
| 221.194.128.66 | 41 | 中國河北省廊坊市 |
| 211.75.183.115 | 37 | 臺灣 中華電信 |
| 59.144.1.23 | 33 | 印度 |
| 78.143.45.2 | 31 | 德國 |
| 211.138.191.50 | 25 | 中國安徽省 |
| 210.18.127.227 | 21 | 印度 |
| 220.229.57.152 | 16 | 臺灣 新世紀資通 |
| 61.191.57.32 | 15 | 中國安徽省合肥市 |
| 218.22.67.123 | 15 | 中國安徽省蕪湖市 |
| 61.147.115.147 | 15 | 中國江蘇省揚州市 |
| 61.150.111.198 | 15 | 中國陝西省安康市 |
| 59.125.137.41 | 10 | 臺灣 中華電信 |
| 218.36.124.138 | 10 | 韓國 |
| 124.128.93.118 | 9 | 中國山東省濟南市 |
| 218.56.61.114 | 9 | 中國山東省濟南市 |
| 89.212.76.111 | 6 | 斯洛文尼亞 |
| 211.100.17.87 | 6 | 北京市 |
| 58.196.29.33 | 5 | 中國 教育網 |
| 88.169.116.244 | 2 | 法國 |
| 41.241.234.245 | 2 | 南非 |
| 61.175.196.182 | 1 | 中國浙江省杭州市 |
依據使用的帳號/次數統計,這10,538 次的帳號密碼嘗試總共用了2,834個帳號,
以下是超過40次的帳號排序
| ID | 次數 |
| root | 2558 |
| test | 183 |
| admin | 131 |
| user | 93 |
| guest | 90 |
| oracle | 75 |
| tester | 73 |
| testing | 65 |
| mysql | 54 |
| ftp | 51 |
| administrator | 49 |
| postfix | 45 |
| adm | 41 |
依據使用的密碼/次數統計,共嘗試了5,339個密碼
以下是超過40次的密碼排序
| PWD | 次數 |
| 123456 | 441 |
| password | 365 |
| test | 193 |
| 12345 | 171 |
| 1234 | 166 |
| 123 | 160 |
| test123 | 152 |
| passwd | 138 |
| 1 | 82 |
| 1234567 | 54 |
| admin | 46 |
而從中發現到幾個比較特別含有特殊字元的密碼有
!@#$%^&*()
#no6412temp
%5%7%4%5%1%4%8%7
&thecentercannothold&
';lkjhgfdsa
+#SGU9&rbf-#
基本上從這邊導出的結論跟去年差不多
以下是簡單歸納出的幾個已知規則
a.一般常見英文名/系統預設服務名/單辭
b.單一/重複數字 (ex: 1,2222 , 33333333)
c.順序數字 or 帳號+順序數字 (ex: 123 , 1234 , 987654321, root123)
d.順序符號 (ex: !@#$% , !@#$%^&*() , )(*&^%$#@! )
e.鍵盤順序字母(ex: qwerty , asdfgh , 1qaz2wsx3edc4rfv , 3edc4rfv5tgb)
f.簡單文字符號代換(ex: r@@t , p@ssw0rd )
針對sshd安全建議:
1.可能的話把port改掉,不要用default的TCP/22
2.不要允許root登入(PermitRootLogin no)
3.若情況允許,使用AllowUsers來設定允許SSH登入帳號的正面表列
4.直接關掉PasswordAuthentication,改用authentication key驗證
完整的時間/ID/PWD/IP紀錄已放在GOOGLE DOC上,請自行參閱 http://spreadsheets.google.com/pub?key=pj62VKrg9JNMO9SbmF2eIRA
如果在那裡面能蒐到所使用的密碼,建議立即更換.
2009-04-19 update: 後續持續蒐集,發現到 59.179.244.5 這個印度IP持續在做帳號密碼嘗試的動作,截至 2009-04-19 18:54:17 為止, 59.179.244.5 總共TRY了13509次,完整LOG http://spreadsheets.google.com/pub?key=pj62VKrg9JNNTcj_DnPbAdw 而且頻率並不固定,同時有出現帳密互換後來TRY的情況,推測不像一般是WORM之類的在自動跑而是有人為介入的在嘗試; 這邊特別把這IP用過的ID/PWD字典整理排序出來 http://spreadsheets.google.com/pub?key=pj62VKrg9JNNJaaATx94HUA
發表文章
沒有留言:
張貼留言