手头有两个临到期的服务器闲置中,正好拿来实验一下写着玩的SSH“蜜罐”。方法就是伪装成OpenSSH Server在22端口上监听,但对所有请求均返回密码错误,同时记录下此次登入使用的用户名、密码、客户端版本及源IP地址,希望能借此捞到一点密码词典,同时对收集到的数据进行一点统计分析。
蜜罐写的很挫,就暂时不公开代码了。总共钓了大概一个月的鱼,有一些有趣的统计数据还是可以分享下的。
登入尝试次数
- 澳大利亚:213941,日均7131次
- 中国大陆:102403,日均3413次
两台服务器分别位于中国大陆和澳大利亚,没有DNS记录指向它们,应该单纯就是被扫到22端口了。数量在意料之中,改端口+套防火墙还是有必要的。
用户名TOP10
| 澳大利亚 | 中国大陆 | |
|---|---|---|
| 1 | root (84.97%) | root (71.82%) |
| 2 | admin (1.62%) | admin (3.48%) |
| 3 | user (1.02%) | user (2.56%) |
| 4 | ubuntu (0.73%) | ubuntu (1.62%) |
| 5 | test (0.73%) | test (1.43%) |
| 6 | oracle (0.51%) | oracle (1.04%) |
| 7 | ftpuser (0.42%) | ftpuser (0.96%) |
| 8 | usuario (0.38%) | debian (0.90%) |
| 9 | debian (0.36%) | test1 (0.85%) |
| 10 | test1 (0.34%) | usuario (0.84%) |
同样意料之中的优先想拿下root,但稍微意料之外的是出现频率这么高,跟第二名出现了巨大的断层。usuario查了一下是西班牙语的user之意。
密码TOP10
| 澳大利亚 | 中国大陆 | |
|---|---|---|
| 1 | 123456 (1.99%) | 123456 (2.09%) |
| 2 | admin (0.71%) | admin (1.27%) |
| 3 | root (0.68%) | root (1.10%) |
| 4 | 123 (0.64%) | 123 (1.05%) |
| 5 | 1234 (0.55%) | 1234 (1.00%) |
| 6 | test (0.49%) | ubuntu (0.96%) |
| 7 | 12345 (0.49%) | test (0.90%) |
| 8 | ubuntu (0.49%) | 12345 (0.90%) |
| 9 | qwerty (0.40%) | qwerty (0.84%) |
| 10 | toor (0.36%) | toor (0.74%) |
频率上没有观察到什么有趣的现象,可能因为都是拿着字典对着跑,导致分布也比较均匀。
客户端TOP10
| 澳大利亚 | 中国大陆 | |
|---|---|---|
| 1 | SSH-2.0-Go (53.74%) | SSH-2.0-Go (74.63%) |
| 2 | SSH-2.0-PUTTY (31.97%) | SSH-2.0-libssh2_1.9.0 (7.53%) |
| 3 | SSH-2.0-libssh2_1.9.0 (3.95%) | SSH-2.0-OpenSSH_7.4 (5.49%) |
| 4 | SSH-2.0-libssh2_1.11.0 (2.98%) | SSH-2.0-libssh2_1.11.0 (3.22%) |
| 5 | SSH-2.0-OpenSSH_7.4 (2.63%) | SSH-2.0-libssh_0.7.4 (1.58%) |
| 6 | SSH-2.0-libssh_0.9.6 (1.70%) | SSH-2.0-libssh2_1.8.2 (1.50%) |
| 7 | SSH-2.0-OpenSSH (1.38%) | SSH-2.0-libssh_0.9.5 (1.46%) |
| 8 | SSH-2.0-makiko (0.57%) | SSH-2.0-makiko (0.73%) |
| 9 | SSH-2.0-libssh_0.10.5 (0.52%) | SSH-2.0-libssh_0.10.5 (0.46%) |
| 10 | SSH-2.0-libssh2_1.10.0 (0.30%) | SSH-2.0-libssh2_1.4.3 (0.34%) |
有点意外Go的占比这么高;其它大多看上去也是演都不演直接汇报SSH库的名称。姑且可以认为用Go实现的SSH客户端都ban了也不算太冤枉?
地理位置TOP10
(考虑到应该不会有人拿自己的机器明目张胆的扫,或多或少会用肉鸡或者跳板,这一项就图一乐吧)
| 澳大利亚 | 中国大陆 | |
|---|---|---|
| 1 | 越南 (62.68%) | 越南 (53.62%) |
| 2 | 美国 (9.65%) | 美国 (23.62%) |
| 3 | 德国 (9.09%) | 瑞典 (2.78%) |
| 4 | 澳大利亚 (3.46%) | 印度 (2.30%) |
| 5 | 印度 (2.68%) | 韩国 (2.19%) |
| 6 | 韩国 (1.81%) | 荷兰 (1.80%) |
| 7 | 保加利亚 (1.72%) | 新加坡 (1.67%) |
| 8 | 荷兰 (1.21%) | 塞内加尔 (1.48%) |
| 9 | 瑞士 (1.19%) | 澳大利亚 (1.42%) |
| 10 | 新加坡 (1.13%) | 俄罗斯联邦 (1.09%) |
结论倒是和我的Cloudflare WAF安全事件基本吻合,特别是美国和欧洲国家。至于越南为啥这么出奇的高,暂且认为是信息安全建设不到位,导致肉鸡比较多吧。
没错,你们想看的那个(
