Kippo ssh honeypot – 2ª parte – Resultados ao fim de 1 mês
Introdução
Na primeira parte do artigo vimos como se instala um honeypot com o Kippo. Nesta segunda parte vamos analisar os resultados de correr este honeypot ao fim de um mês.
Vamos ver estatísticas a nível geral, de input e a nível geográfico.
Para esta análise usei o Kippo-Graph, que recolhe os resultados a partir da base de dados que o Kippo usa para registar todos os movimentos feitos no honeypot.
O Kippo-Graph tem apenas um “problema”. A maior parte da análise é feita ao top 10 ou 20 de uma certa acção. Seja como for, isso já dá uma boa visão ao que acontece quando temos o serviço ssh aberto para o mundo.
Estatísticas gerais
A nível geral, nestes 28 dias, houve 18713 tentativas de login no honeypot, o que dá mais ou menos uma média de 668 tentativas por dia. As tentativas de login vieram de 135 ips distintos.
Estas são as 10 passwords mais tentadas. Podemos ver que a maior parte são passwords muito simples. Só a nona e décimas passwords são palavras mais complicadas.
Uma das conclusões que podemos tirar é que não se deve usar passwords simples.
Em seguida temos os utilizadores que foram mais tentados para efectuar logins. Como é óbvio, o utilizador mais tentado é o utilizador “root”.
Vemos também que são tentados utilizadores de vários serviços, como “nagios”, “mysql”, “tomcat” e “webmail”. Nunca se deve ter acesso a shell com serviços.
Aqui temos o top 10 de combinações entre utilizador/password. A maior parte das combinações usa o user root, mas temos pelo meio um login de “cucu/nu-e-bun” e “postgres/postgres”.
Temos aqui os mesmos dados, mas representado noutro tipo de gráfico. Um gráfico circular.
Neste gráfico temos a comparação dos logins com sucesso e dos sem sucesso. Como se pode ver, dos milhares de tentativas, só 169 foram com sucesso, mesmo tendo em conta que as passwords que tinha para o utilizador “root” é muito simples.
Neste gráfico, temos descriminado os dias em que houve mais e menos sucessos de login por dia.
Este é o mesmo dado que o anterior, mas de uma forma contínua, por dia.
E aqui temos os mesmos dados de sucesso, mas por semana.
Neste gráfico temos o número de tentativas de ligação por IP. Podemos ver que apenas um IP, fez mais de 7000 ataques. Mais detalhes sobre este IP, mais à frente.
Os mesmos dados, mas num gráfico circular.
Este gráfico representa o número de logins com sucesso de um certo ip.
Aqui temos um gráfico com o número de tentativas de ligação, descriminado por dia. Podemos ver que dia 16 e 17 foram dias com muita actividade.
Os mesmos dados, representados de outra forma, onde podemos ver que houve picos de ataques no dia 16 e 25.
Aqui temos os mesmos dados, mas agrupados por semana.
Este é um gráfico muito interessante, com o id dos clientes de ssh que se ligaram à honeypot.
Libssh é o cliente, de longe, com mais ligações. Este cliente é utilizado por bots.
Temos o Putty, a última versão, que é utilizado por um humano e deve vir de um Windows. O mesmo acontece aos cliente de openssh, que são usados a partir de um *nix.
Jsch é um cliente java e pelo que me pareceu, também é usado por um bot, apesar de ter poucas ligações. Este cliente, pelo que vi, não tentou login por password, mas sim por certificado, o que é fora do normal.