Avec 3 jours de retard, mais voici la liste des identifiants déconseillés pour janvier. Comme ce sont les identifiants utilisés pour tenter d’entrer sur mes serveurs, il est déconseillé de les utiliser sur les votre, sinon vous allez faciliter la tâche aux pirates.
****************************************************************** Classement des logins utilisés (119): ****************************************************************** root 205 oracle 17 postgres 15 sales 15 nagios 15 test 15 ts 13 info 13 Administrator 13 service 12 NULL 12 staff 9 admin 8 teamspeak 5 webmaster 5 gustavo 5 gamefiles 4 db2inst1 4 guest 4 samba 3 upload 3 alexis 3 recruit 3 user3 3 alias 3 hlds 3 globus 3 office 2 mysql 2 djeli 2 monica 2 anonymous 2 ts1 2 postmaster 2 rpdv 2 stud 2 db2fenc1 2 ts3 2 bingo 2 mlmb 2 redmine 2 webadmin 2 shoutcast 2 adempiere 2 administrator 2 kelvin 2 test1 1 cvsroot 1 santiago 1 web 1 claude 1 condor 1 tt 1 grace 1 alberto 1 xtn 1 comicup 1 administratiu 1 patrick 1 cstrike 1 sato 1 ts2 1 alexandre 1 claudia 1 www 1 library 1 yoshida 1 joan 1 mvrabel 1 rp 1 anne 1 ken 1 virtuoso 1 marine 1 extreme 1 eggdrop 1 firebird 1 amanda 1 joomla 1 raimundo 1 groundworks 1 enzo 1 apple 1 unix 1 linux 1 Crouse 1 brc 1 ecommerce 1 cyrus 1 zoro 1 keltika 1 suzuki 1 shell 1 nobody 1 oracle1 1 netdump 1 andrea 1 cacti 1 bea 1 matteo 1 cvs 1 rfmngr 1 privoxy 1 user4 1 ana 1 user1 1 prueba 1 servidor 1 ipbx 1 trash 1 ftp 1 stacy 1 a1 1 a3 1 a2 1 lucas 1 tomcat 1 admosfer 1 sg 1
Apparition de logins hispaniques. Ça y est, l’Espagne a trouvé mes serveurs!
Un top 10 est classique avec l’apparition de teamspeak en 14e position. Vous constaterez que le mois dernier, les prénoms ont plus été testés que les mois précédents (25 différents quand même). Utiliser son prénom comme login n’est donc pas une bonne idée.
Test (et test1, test2, tests, …) a presque disparu des stats depuis un an. Ça ne doit plus être rentable de tenter de rentrer avec ce login. Par contre, la version espagnoles (prueba) est elle apparue.
Dans le fichier scanresult_janvier fichier complet, vous trouverez aussi le classement par heure des attaques, ainsi que la liste des adresses et ports utilisés.
119 tentatives en janvier, c’est une légère augmentation par rapport à la moyenne (96) mais pas significatif. Les pirates rattrapent t-ils le retard prit pendant les fêtes?
****************************************************************** Nombre de tentatives par plage horaire: ****************************************************************** 0-1 1-2 2-3 3-4 4-5 5-6 6-7 7-8 8-9 9-10 10-11 ######### (9) 11-12 #### (4) 12-13 ################ (16) 13-14 ##################### (21) 14-15 ############################################# (45) 15-16 ############# (13) 16-17 ############################### (31) 17-18 ###### (6) 18-19 ##################################### (37) 19-20 ########################### (27) 20-21 ########### (11) 21-22 ############################### (31) 22-23 ######################################## (40) 23-24 ################################## (34)
Le matin, c’est assez calme, ça attaque surtout le soir, avec un creux à 17 heures. Ordinateur vérolés du travail éteints avant l’allumage des ordinateurs vérolés des particuliers?
Lorsque j’aurais trouvé le moyen de géolocaliser les adresses, on verra peut être que l’effet est dû à un autre fuseau horaire.
A suivre, donc.
Relativisons cette menace : Les robots ne tentent chaque login que peu de fois, ce qui indique des attaques sur des mots de passe ciblés (genre ‘123456’ ou ‘password’). Un bon mot de passe et on est tranquille. Mais dans tous les cas, je recommande vivement l’abandon de l’authentification par mot de passe au profit de l’authentification par clé : c’est simple, sécurisé et très pratique lorsqu’on dispose de plusieurs machines.
Tout à fait d’accord sur le principe, mais dans certains cas, l’identification par clef ne peut être fiable que si les clefs de l’utilisateur sont en sécurité. Or, j’ai eu le cas où des utilisateurs ont laissé leur session ouverte et se sont fait dérober leur clef.
Les mots de passe ont l’avantage de pouvoir être changés facilement par l’utilisateur lui même. Ça marche à condition qu’il soit sensibilisé à la dureté de ceux ci.
Le but de ces articles est justement de sensibiliser le public au fait que leur machine intéresse aussi les pirates et que les attaques que la plupart des gens ne voit pas sont réelles. Et d’éviter les mots de passe simples.
Plus une petite analyse comportementale d’un mois à l’autre.
Ping : Vu sur le web : 10 February 2010 « Julo Blog