Разработчик поисковой системы Shodan с декабря экспериментирует со своим краулером SSH, улучшая индексацию информации, которую сайты предъявляют вместе с отпечатком ключа SSH. Уже тогда он обратил внимание, что одинаковые отпечатки встречаются повсеместно. Очевидно, по какой-то причине устройства генерируют одинаковые ключи SSH.

Например, один отпечаток был найден более чем в 250 000 устройствах! Вот он.

dc:14:de:8e:d7:c1:15:43:23:82:25:81:d2:59:e8:c0

И многие другие отпечатки тоже многократно дублируются, что каждый может проверить самостоятельно, запустив следующий код на Python.

import shodan

api = shodan.Shodan(YOUR_API_KEY)

# Get the top 1,000 duplicated SSH fingerprints
results = api.count('port:22', facets=[('ssh.fingerprint', 1000)])

for facet in results['facets']['ssh.fingerprint']:
    print '%s --> %s' % (facet['value'], facet['count'])

Если пробить вышеупомянутый отпечаток через базу Shodan, то картина проясняется.

003

Похоже, мы имеем дело с инстансами Dropbear SSH, которые применяет оператор Telefonica de Espana. Похоже, какое-то их сетевое оборудование поставляется в конфигурации с дефолтным ключом SSH, и они решили использовать его повсеместно.

Следующий дубликат в списке встречается примерно 200 000 раз, третий результат — 150 000. Анализ показывает, что тенденция характерна для интернет-провайдеров и хостинг-провайдеров.

Список 1000 самых популярных отпечатков SSH опубликован здесь: https://gist.github.com/achillean/07f7f1e6b0e6e113a33c.

Подписаться
Уведомить о
10 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии