Unternehmen SSH Honeypot

Erwartete Lesezeit: 1 minute

Nachdem ich test weise einen virtuellen Cloud-Server gemietet hatte, habe ich nach kurzer festgestellt , dass die Logdatei /var/log/auth.log rapide sich vergrößerte.
Einmal kurz reingeschaut sah wie im Sekundentakt fehlgeschlagene Loginversuche des Users root auftauchten.

Normalerweise hätte ich jetzt die IP gesperrt und den SSH Zugang von Passwort auf Public Key Access umgestellt, aber ich war neugierig und da ich den Server nicht mehr brauchte, habe ich einen SSH Honeypot installiert. Als Gimmick , für erfolgreiche Hacks habe innerhalb des Honeypots ein paar einfache User/Passwort Kombinationen eingerichtet und eine Datei mit dem Namen bankaccounts.txt hinterlegt. Natürlich waren in dieser Datei keine Bankdaten drin, sondern ein Muffinrezept.

Am Sonntag 29.01.2017 um 17:47 Uhr habe ich die Aufzeichnung gestartet und am Freitag 10.02.2017 gegen 18:00 Uhr die Messung beendet. In diesem Zeitraum habe ich 226,659 Loginversuche auf Port 22 registriert. Und keiner war von mir.

ungefähre Herkunft :

[datamap id=1929]

[datamap id=1950]

Genutzte User und Passwörter

Neben der Herkunft wollte ich auch mal sehen, welche Benutzernamen und Password Kombinationen genutzt wurden. Nicht erstaunlich war der am häufigsten genutzte Benutzername ‚root‘.
Es scheint als erstmal versucht wurde, sich mit einem leeren Passwort anzumelden. Ob jemand damit erfolgt haben könnte, wer weiß das schon. Hier die Top 10
[datatable id=1945]

[datatable id=1946]

hier die Top 10 der Benutzername / Passwort Kombinationen:

[datatable id=1948]