安全基础 基于SSH的恶意登录攻击分析(2) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年12月04日 09:08 天极yesky | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SSH恶意登录分析 我们在这部分将分析在7月11日至8月1日被蜜罐捕捉到的数据。这些数据完全来源于蜜罐的日志系统。这个日志系统截获了很多向服务器的登录请求信息,这其中包括日期、时间、IP地址、请求的结果(成功或失败)以及用于登录请求的帐户名和密码。下面是一个简单的登录请求日志。
首先,我们来分析用于登录的帐户名。上面的日志只是攻击记录的一小部分,其中在这期间共有2741次不同的攻击尝试。这其中他们使用了一般的用户名、系统用户名以及按字母顺序进行排序的用户名。但我们发现,有15个帐户使用非常频繁。这些帐启如表1所示。这个表显示的帐户在一般的系统上大部分都存在,如root、admin、guest等。在图1将显示本系统中存在和不存在的帐户比例。
表1 频率最高的15个帐户
图1 存在和不存在的帐户的比例
接下来,让我们看看他们进行恶意登录所使用的密码。攻击者使用的大多数密码都和帐户名有关。在这些数据中攻击者使用了3649个不同的密码。并不是每个用户都使用了这些密码。这些密码有的是连续的数字或字母,有的是按键盘顺序的字符(如’asdfg’)。还有一些更复杂的密码,如r00t或c@t@lin。表2显示了使用频率最高的15个密码。
表2 使用频率最高的15个密码
|