Je to měsíc co jsem si na svém routeru Turris aktivoval honeypoty (ssh, telnet).

Netrvalo to ani den. Za necelý měsíc jsem získal a odeslal následující data.

Nejoblíbenější jméno

root, nikoho to asi nepřekvapí. Procentuelně se jedná o 95% ze všech zadaných přihlašovacích jmen.

Nejoblíbenější heslo

cisco, téměř 20% což je docela překvapení. Čekal jsem některé z hesel: root (9%), admin (7%) nebo 123456 (3%)

Nejoblíbenější jméno+heslo

root:cisco Co většinou útočník chtěl Zpravidla se po přihlášení k systému zjišťovalo několik věcí. Jaký je to systém a kolik má volné operační paměti.

Perličky

Skript na DDoS; Můj router mohl být bez mého vědomí součástí velké skupiny útočníků.

IRC server; Někdo asi chtěl z mého routeru udělat IRC server k ovládání botnetu. Útočník, který zkoušel root:cisco byl nejspíš stroj (možná nakažený PC nebo router). Usuzuju tak z toho, že se vždy přihlásil, zjistil jaká je to architektura, kolik je volné operační paměti a šel pryč. Délka spojení byla v řádu sekund, to by člověk neudělal. Podobně se chovají v posledních dnech útočníci, kteří se přihlásí zadají _echo -n test _a jdou pryč.

Další zajímavosti najdete v postu Kdo nám šťourá do Turrisiho ssh honeypotu