In den einen oder anderen meiner Honeypots greifen in den letzten Monaten verstärkt Bots beim Versuch sich mit dem Benutzernamen PI anzumelden. Im November 2018 waren am SSH 13% der Loginversuche mit dem User pi. Für März 2019 sieht es so aus als wenn es etwas um 87/88% werden. Ganz früher waren es ja mal die User root oder test und so etwas… Inzwischen also pi, gut gut. So verstärkt ist nur etwas auffällig. Ist da ein Loch? Sind zu viele Anwender zu nachlässig bei der Zugangssicherung und die Dinger stehen wirklich so „nackt“ im Internet? Leider scheint mir das Letztere nicht sehr unwahrscheinlich :-/

Alles >= Pi3 hat ja schon eine ganz gute Rechenleistung. Hoffen wir einfach mal darauf, dass die Bots dieses nur zum Rechnen von Cryptogeld nutzen wollen und nicht zum Spammen oder noch schlimmer für Angriffe. Loginversuchszahlen größer 70% habe ich sonst oft nur kurz vor einem großen DDoS gesehen. Jemand andere Zahlen für mich?

Mar 25 06:20:21 pot06 sshd[93829]: Invalid user pi from xx.xx.xx.xx port 55312
Mar 25 06:20:21 pot06 sshd[93829]: Failed unknown for invalid user pi from xx.xx.xx.xx port 55312 ssh2
Mar 25 06:20:21 pot06 sshd[93827]: Invalid user pi from xx.xx.xx.xx port 55310
Mar 25 06:20:21 pot06 sshd[93827]: Failed unknown for invalid user pi from xx.xx.xx.xx port 55310 ssh2
Mar 25 06:20:21 pot06 sshd[93829]: Connection closed by invalid user pi xx.xx.xx.xx port 55312 [preauth]
Mar 25 06:20:21 pot06 sshd[93827]: Connection closed by invalid user pi xx.xx.xx.xx port 55310 [preauth]

Oh was ebenfalls sehr verdächtig ist: Die Quellen dieser Loginversuche kommt nicht wie sonst aus Indien, China usw… Sondern inzwischen ebenfalls sehr oft aus dem DACH-Raum. Nicht das hier dem Menschen besonders sicher und vorsichtig sind; nein es zeigt nur, dass die Angriffe wohl schon oft erfolgreich waren.


Kleines Update

Habe hier drei Rückmeldungen welche sich sehr ähnlich anhören 🙁 Alles aber aus der gleichen unprofessionellen Sicherheitsblase. Vielleicht kommt ja noch eine „unabhängige“ Meinung?!?