Unternehmen SSH Honeypot

Erwartete Lesezeit: 1 minute

Nachdem ich test weise einen virtuellen Cloud-Server gemietet hatte, habe ich nach kurzer festgestellt , dass die Logdatei /var/log/auth.log rapide sich vergrößerte.
Einmal kurz reingeschaut sah wie im Sekundentakt fehlgeschlagene Loginversuche des Users root auftauchten.

Normalerweise hätte ich jetzt die IP gesperrt und den SSH Zugang von Passwort auf Public Key Access umgestellt, aber ich war neugierig und da ich den Server nicht mehr brauchte, habe ich einen SSH Honeypot installiert. Als Gimmick , für erfolgreiche Hacks habe innerhalb des Honeypots ein paar einfache User/Passwort Kombinationen eingerichtet und eine Datei mit dem Namen bankaccounts.txt hinterlegt. Natürlich waren in dieser Datei keine Bankdaten drin, sondern ein Muffinrezept.

Am Sonntag 29.01.2017 um 17:47 Uhr habe ich die Aufzeichnung gestartet und am Freitag 10.02.2017 gegen 18:00 Uhr die Messung beendet. In diesem Zeitraum habe ich 226,659 Loginversuche auf Port 22 registriert. Und keiner war von mir.

ungefähre Herkunft :

Genutzte User und Passwörter

Neben der Herkunft wollte ich auch mal sehen, welche Benutzernamen und Password Kombinationen genutzt wurden. Nicht erstaunlich war der am häufigsten genutzte Benutzername ‘root’.
Es scheint als erstmal versucht wurde, sich mit einem leeren Passwort anzumelden. Ob jemand damit erfolgt haben könnte, wer weiß das schon. Hier die Top 10

Benutzername Anzahl Nutzung
root 220211
admin 1509
root/\]' 287
user 260
ubnt 170
test 155
support 146
guest 109
root/ 107
pi 87

Passwort Anzahl Nutzung
537
admin 427
password 405
12345 386
1234 386
123456 362
ubnt 324
root 218
111111 177
support 175

hier die Top 10 der Benutzername / Passwort Kombinationen:

Kombi Anzahl
root/123456 221
root/password 196
root/admin 192
root/root 188
root/12345 159
root/system 156
root/1234 146
admin/admin 146
root/ubnt 144
root/111111 143