科技时代新浪首页 > 科技时代 > 学园 > 正文

安全基础 基于SSH的恶意登录攻击分析(2)


http://www.sina.com.cn 2006年12月04日 09:08 天极yesky

    SSH恶意登录分析

  我们在这部分将分析在7月11日至8月1日被蜜罐捕捉到的数据。这些数据完全来源于蜜罐的日志系统。这个日志系统截获了很多向服务器的登录请求信息,这其中包括日期、时间、IP地址、请求的结果(成功或失败)以及用于登录请求的帐户名和密码。下面是一个简单的登录请求日志。

以下是引用片段:
Jul 13 09:37:59 basta sshd[22308]: PW-ATTEMPT: fritz
Jul 13 09:37:59 basta sshd[22308]: Failed password for root from 10.0.160.14
 port 39529 ssh2
 
Jul 13 09:38:02 basta sshd[22310]: Illegal user fatacunike from 10.0.160.14
Jul 13 09:38:02 basta sshd[22310]: PW-ATTEMPT: fatacunike
Jul 13 09:38:02 basta sshd[22310]: Failed password for illegal user fatacunike
 from 10.0.160.14 port 40444 ssh2

 
  首先,我们来分析用于登录的帐户名。上面的日志只是攻击记录的一小部分,其中在这期间共有2741次不同的攻击尝试。这其中他们使用了一般的用户名、系统用户名以及按字母顺序进行排序的用户名。但我们发现,有15个帐户使用非常频繁。这些帐启如表1所示。这个表显示的帐户在一般的系统上大部分都存在,如root、admin、guest等。在图1将显示本系统中存在和不存在的帐户比例。
 
帐户名
尝试登录的次数
root
1049
admin
97
test
87
guest
40
mysql
31
info
30
oracle
27
postgres
27
testing
27
webmaster
27
paul
25
web
24
user
23
tester
22
pgsql
21
 
表1 频率最高的15个帐户
 
安全基础基于SSH的恶意登录攻击分析(2)
 
图1 存在和不存在的帐户的比例
 
  接下来,让我们看看他们进行恶意登录所使用的密码。攻击者使用的大多数密码都和帐户名有关。在这些数据中攻击者使用了3649个不同的密码。并不是每个用户都使用了这些密码。这些密码有的是连续的数字或字母,有的是按键盘顺序的字符(如’asdfg’)。还有一些更复杂的密码,如r00t或c@t@lin。表2显示了使用频率最高的15个密码。
 
密码
使用的次数
123456
331
Password
106
Admin
47
Test
46
36
12345
34
administrator
28
Linux
23
Root
22
test123
22
1234
21
123
20
Mysql
19
Apache
18
Master
18
 
表2 使用频率最高的15个密码

[上一页] [1] [2] [3] [4] [5] [下一页]

本文导航:
·蜜罐的使用方法研究
·SSH恶意登录分析
·更进一步的分析
·成功的恶意登录攻击
·使SSH服务器只可以被指这的用户访问

发表评论 _COUNT_条

爱问(iAsk.com) 相关网页共约4,380,000



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有