Разработчик поисковой системы Shodan с декабря экспериментирует со своим краулером SSH, улучшая индексацию информации, которую сайты предъявляют вместе с отпечатком ключа SSH. Уже тогда он обратил внимание, что одинаковые отпечатки встречаются повсеместно. Очевидно, по какой-то причине устройства генерируют одинаковые ключи SSH.
Например, один отпечаток был найден более чем в 250 000 устройствах! Вот он.
dc:14:de:8e:d7:c1:15:43:23:82:25:81:d2:59:e8:c0
И многие другие отпечатки тоже многократно дублируются, что каждый может проверить самостоятельно, запустив следующий код на Python.
import shodan
api = shodan.Shodan(YOUR_API_KEY)
# Get the top 1,000 duplicated SSH fingerprints
results = api.count('port:22', facets=[('ssh.fingerprint', 1000)])
for facet in results['facets']['ssh.fingerprint']:
print '%s --> %s' % (facet['value'], facet['count'])
Если пробить вышеупомянутый отпечаток через базу Shodan, то картина проясняется.
Похоже, мы имеем дело с инстансами Dropbear SSH, которые применяет оператор Telefonica de Espana. Похоже, какое-то их сетевое оборудование поставляется в конфигурации с дефолтным ключом SSH, и они решили использовать его повсеместно.
Следующий дубликат в списке встречается примерно 200 000 раз, третий результат — 150 000. Анализ показывает, что тенденция характерна для интернет-провайдеров и хостинг-провайдеров.
Список 1000 самых популярных отпечатков SSH опубликован здесь: https://gist.github.com/achillean/07f7f1e6b0e6e113a33c.