Wir betreiben auch einen kleinen SSH-Honeypot, der die versuchten Passworte abspeichert. Das Ding wurde seinerzeit von Jan Göbel entwickelt, Nils Neumann war ebenfalls dran (oder war es andersrum), ich hab das Ding vor ein paar Jahren mal IPv6 fähig gemacht. Attached habe ich mal die Hitliste der Passworte aus dem vorigen Monat. Ich hoffe, keiner findet sein Lieblingspasswort. Insgesamt hatten 115K Einträge, knapp 18K verschiedene Passworte. Zugriffe erfolgten aus ca. 2K verschiedenen Class-C's. 76K Zugriffe erfolgten aus zwel Class-B's von den Cloud Providern Tencent und Digital Ocean. 134.209.0.0/16 134.175.0.0/16 Top 10 der getesteten 207 verschiedenen Accounts: 106916 root 3402 admin 924 ubnt 328 user 221 test 203 guest 191 oracle 184 ubuntu 125 22 120 debian
Manchmal ist reply-list doch zu kompiziert... Kann man die Liste irgendwie als Text Datei für RWTH intern verfügbar machen, damit alle Dienste, wo Benutzer selber Kennwörter vergeben können, gegen diese Liste prüfen könne, ob eins der Kennwörter von der Liste eingegeben wurden? Viele Grüße Frank Knoben On 17.04.20 13:59, Jens Hektor wrote:
Wir betreiben auch einen kleinen SSH-Honeypot, der die versuchten Passworte abspeichert.
Das Ding wurde seinerzeit von Jan Göbel entwickelt, Nils Neumann war ebenfalls dran (oder war es andersrum), ich hab das Ding vor ein paar Jahren mal IPv6 fähig gemacht.
Attached habe ich mal die Hitliste der Passworte aus dem vorigen Monat. Ich hoffe, keiner findet sein Lieblingspasswort.
Insgesamt hatten 115K Einträge, knapp 18K verschiedene Passworte.
Zugriffe erfolgten aus ca. 2K verschiedenen Class-C's.
76K Zugriffe erfolgten aus zwel Class-B's von den Cloud Providern Tencent und Digital Ocean.
134.209.0.0/16 134.175.0.0/16
Top 10 der getesteten 207 verschiedenen Accounts:
106916 root 3402 admin 924 ubnt 328 user 221 test 203 guest 191 oracle 184 ubuntu 125 22 120 debian
_______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de
Hallo zusammen, dafür gibt es ja den Dienst "Have i been pwned" [0]. Dort kann man gegen Bezahlung auch deren API Nutzen, so dass theoretisch beim Anlegen eines Accounts gegen deren Liste geprüft werden kann, ob so ein Passwort mal geleaked wurde. Finde die Liste von Jens an dieser Stelle etwas zu kurz (auch wenn die Daten sehr interessant sind). Gruß Stephan [0] https://haveibeenpwned.com/Passwords -- Stephan Krinetzki IT Center Gruppe: Systemgruppe Linux Abteilung: Systeme & Betrieb RWTH Aachen University Seffenter Weg 23 52074 Aachen Tel: +49 241 80-24866 Fax: +49 241 80-22134 krinetzki@itc.rwth-aachen.de www.itc.rwth-aachen.de -----Original Message----- From: Frank Knoben <admin@igpm.rwth-aachen.de> Sent: Friday, April 17, 2020 2:54 PM To: rwth-security@lists.rwth-aachen.de Subject: [rwth-security] Re: Status SSH: Honeypot Results Manchmal ist reply-list doch zu kompiziert... Kann man die Liste irgendwie als Text Datei für RWTH intern verfügbar machen, damit alle Dienste, wo Benutzer selber Kennwörter vergeben können, gegen diese Liste prüfen könne, ob eins der Kennwörter von der Liste eingegeben wurden? Viele Grüße Frank Knoben On 17.04.20 13:59, Jens Hektor wrote: Wir betreiben auch einen kleinen SSH-Honeypot, der die versuchten Passworte abspeichert. Das Ding wurde seinerzeit von Jan Göbel entwickelt, Nils Neumann war ebenfalls dran (oder war es andersrum), ich hab das Ding vor ein paar Jahren mal IPv6 fähig gemacht. Attached habe ich mal die Hitliste der Passworte aus dem vorigen Monat. Ich hoffe, keiner findet sein Lieblingspasswort. Insgesamt hatten 115K Einträge, knapp 18K verschiedene Passworte. Zugriffe erfolgten aus ca. 2K verschiedenen Class-C's. 76K Zugriffe erfolgten aus zwel Class-B's von den Cloud Providern Tencent und Digital Ocean. 134.209.0.0/16 134.175.0.0/16 Top 10 der getesteten 207 verschiedenen Accounts: 106916 root 3402 admin 924 ubnt 328 user 221 test 203 guest 191 oracle 184 ubuntu 125 22 120 debian _______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de <mailto:rwth-security@lists.rwth-aachen.de> To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de <mailto:rwth-security-leave@lists.rwth-aachen.de>
Am 17.04.20 um 14:54 schrieb Frank Knoben:
Kann man die Liste irgendwie als Text Datei für RWTH intern verfügbar machen, damit alle Dienste, wo Benutzer selber Kennwörter vergeben können, gegen diese Liste prüfen könne, ob eins der Kennwörter von der Liste eingegeben wurden?
Manch einem ist vielleicht dieses "seltsame" Passwort hlL0mlNAabiR aufgefallen. Wenn man das googelt findet man reichlich Passwortlisten.
Hallo an alle, FAIL2BAN wir benutzen in (Teilen) der Physik für Linux bei ssh-Ports, die offen sind, fail2ban, was dann bei Robot-Angriffen die IP sperrt. Eigentlich sehr gute Erfahrungen damit, kommt natürlich dann auch mal vor, dass Nutzer zu oft hintereinander ihr PW falsch eintippen (bzw. ihre Keys falsch haben) und sich dann aussperren. Sie schicken dann i.d.R. uns eine Email mit ihrer IP, dann trägt man die wieder aus der Sperrliste aus, oder das passiert nach einer Karenzzeit automatisch. https://www.fail2ban.org/wiki/index.php/Main_Page Grüße,Th.
Am 17.04.2020 um 13:59 schrieb Jens Hektor <hektor@itc.rwth-aachen.de>:
Wir betreiben auch einen kleinen SSH-Honeypot, der die versuchten Passworte abspeichert.
Das Ding wurde seinerzeit von Jan Göbel entwickelt, Nils Neumann war ebenfalls dran (oder war es andersrum), ich hab das Ding vor ein paar Jahren mal IPv6 fähig gemacht.
Attached habe ich mal die Hitliste der Passworte aus dem vorigen Monat. Ich hoffe, keiner findet sein Lieblingspasswort.
Insgesamt hatten 115K Einträge, knapp 18K verschiedene Passworte.
Zugriffe erfolgten aus ca. 2K verschiedenen Class-C's.
76K Zugriffe erfolgten aus zwel Class-B's von den Cloud Providern Tencent und Digital Ocean.
134.209.0.0/16 134.175.0.0/16
Top 10 der getesteten 207 verschiedenen Accounts:
106916 root 3402 admin 924 ubnt 328 user 221 test 203 guest 191 oracle 184 ubuntu 125 22 120 debian <honeypot-passwords-202003.txt.gz>_______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de
-- Mit besten Grüßen/With kind regards, Thomas Kreß, RWTH Aachen, III. Physikalisches Institut, Lehrstuhl B Office: 28A-206, Phone: +49 241 80 27281, Fax: +49 241 80 22244 Email: thomas.kress@physik.rwth-aachen.de Signed with a certificate issued by RWTH Aachen/DFN CA
participants (4)
-
Frank Knoben -
Jens Hektor -
Kreß, Thomas -
Krinetzki, Stephan