ArtigosDestaque

Kippo ssh honeypot – Resultados

Banner

Kippo ssh honeypot – 2ª parte – Resultados ao fim de 1 mês

Introdução

Na primeira parte do artigo vimos como se instala um honeypot com o Kippo. Nesta segunda parte vamos analisar os resultados de correr este honeypot ao fim de um mês.
Vamos ver estatísticas a nível geral, de input e a nível geográfico.

1

Para esta análise usei o Kippo-Graph, que recolhe os resultados a partir da base de dados que o Kippo usa para registar todos os movimentos feitos no honeypot.

O Kippo-Graph tem apenas um “problema”. A maior parte da análise é feita ao top 10 ou 20 de uma certa acção. Seja como for, isso já dá uma boa visão ao que acontece quando temos o serviço ssh aberto para o mundo.

Estatísticas gerais

2

A nível geral, nestes 28 dias, houve 18713 tentativas de login no honeypot, o que dá mais ou menos uma média de 668 tentativas por dia. As tentativas de login vieram de 135 ips distintos.

3

Estas são as 10 passwords mais tentadas. Podemos ver que a maior parte são passwords muito simples. Só a nona e décimas passwords são palavras mais complicadas.
Uma das conclusões que podemos tirar é que não se deve usar passwords simples.

4

Em seguida temos os utilizadores que foram mais tentados para efectuar logins. Como é óbvio, o utilizador mais tentado é o utilizador “root”.
Vemos também que são tentados utilizadores de vários serviços, como “nagios”, “mysql”, “tomcat” e “webmail”. Nunca se deve ter acesso a shell com serviços.

5

Aqui temos o top 10 de combinações entre utilizador/password. A maior parte das combinações usa o user root, mas temos pelo meio um login de “cucu/nu-e-bun” e “postgres/postgres”.

6

Temos aqui os mesmos dados, mas representado noutro tipo de gráfico. Um gráfico circular.

7

Neste gráfico temos a comparação dos logins com sucesso e dos sem sucesso. Como se pode ver, dos milhares de tentativas, só 169 foram com sucesso, mesmo tendo em conta que as passwords que tinha para o utilizador “root” é muito simples.

8

Neste gráfico, temos descriminado os dias em que houve mais e menos sucessos de login por dia.

9

Este é o mesmo dado que o anterior, mas de uma forma contínua, por dia.

10

E aqui temos os mesmos dados de sucesso, mas por semana.

11

Neste gráfico temos o número de tentativas de ligação por IP. Podemos ver que apenas um IP, fez mais de 7000 ataques. Mais detalhes sobre este IP, mais à frente.

12

Os mesmos dados, mas num gráfico circular.

13

Este gráfico representa o número de logins com sucesso de um certo ip.

14

Aqui temos um gráfico com o número de tentativas de ligação, descriminado por dia. Podemos ver que dia 16 e 17 foram dias com muita actividade.

15

Os mesmos dados, representados de outra forma, onde podemos ver que houve picos de ataques no dia 16 e 25.

16

Aqui temos os mesmos dados, mas agrupados por semana.

17

Este é um gráfico muito interessante, com o id dos clientes de ssh que se ligaram à honeypot.
Libssh é o cliente, de longe, com mais ligações. Este cliente é utilizado por bots.
Temos o Putty, a última versão, que é utilizado por um humano e deve vir de um Windows. O mesmo acontece aos cliente de openssh, que são usados a partir de um *nix.
Jsch é um cliente java e pelo que me pareceu, também é usado por um bot, apesar de ter poucas ligações. Este cliente, pelo que vi, não tentou login por password, mas sim por certificado, o que é fora do normal.

1 2Página seguinte
Etiquetas

Artigos Relacionados

Close
Close