Nun, nach knapp einem halben Jahr möchte ich nochmals Bilanz ziehen über meinen SSH Honeypot. Ich muss selbst sagen, ich bin doch ein bisschen überrascht von der Menge an Verbindungen und Versuchen die da in vergleichsweise kurzer Zeit zusammengekommen sind.
Insgesamt hatte ich 98’335 Verbindungen auf dem Honeypot von insgesamt 5’274 verschiedenen IPs (uniq). Diese haben insgesamt 154’065 Loginversuche durchgeführt, wodurch 15’309 erfolgreich und 138’756 erfolglos waren. Im erweiterten Kontext, da ich auf dem System die gängigsten Passwörter wie „password“, „qwertz“, etc. gesperrt habe, bedeutet das, dass nur die wenigsten komplexere Passwörter verwendet haben.
Wenn man dies nun in Relation zur Zeit setzt, so sind das ungefähr eine Verbindung alle 2 Minuten und alle 16 Stunden eine neue IP. Unglaublich, wenn man sich das mal so vorstellt 
Alle zusammen haben die „Angreifer“ 6’400 Benutzernamen und 25’491 Passwörter durchprobiert. Dies in unterschiedlicher Kombination mit insgesamt 48’612 Versuchen. Alles uniq natürlich.
Die erfolgreichen Loginversuchen endeten dann in 18’252 Kommandos, worunter aber nur 695 unterschiedliche Kommandos waren. Und wenn man von den Kommandos jeweils nur das Executable ohne Parameter nimmt so sind es nur noch 182 verschiedene Tools:
6155: rm 1839: uname 1552: free 1528: ps 1196: wget 591: ls
Hier sieht man das die meisten (6’155 Stück) wohl versucht haben meinen Server zu zerstören oder Spuren zu löschen, während zwischen 1’528 bis 1’839 wissen wollten, wo sie überhaupt sind und 1’196 etwas nachladen wollten. Für mich heisst die Differenz zwischen „wissen, wo ich bin“ und „nachladen“ nun, entweder die haben gemerkt, dass es ein Honeypot ist, oder die hatten andere Absichten als sich permanent einzunisten.
Meine liebsten Freunde auf dem System kamen zu einem Grossteil aus China, aber auch Frankreich und natürlich die USA scheinen gut dabei zu sein:
1945: 212.83.182.91 (Frankreich) 1964: 116.31.116.52 (China) 2971: 54.149.58.211 (USA) 4227: 183.3.205.94 (China) 5728: 116.31.116.50 (China)
Dabei waren die Top-Verbinder auch gleichzeitig die Dümmsten, weil trotz 2’000 bis fast 6’000 Verbindungen haben sie es nicht geschafft, auch nur ein erfolgreiches Login zu treffen. Jungs, ihr solltet unbedingt an eurer Brute-Force-Liste arbeiten!
Die gesammelten Passwörter aus dem Honeypot habe ich nun alle in ein Git-Repo gepackt, so dass dies weiterverwendet werden kann.
