Gérer un serveur – aussi modeste soit-il – c’est aussi traiter des attaques de tous types :
- Tentatives de prendre le contrôle du site wordpress
- Tentatives d’intrusion en SSH sur le serveur pour accéder à un compte simple et/ou à privilège
Tentatives d’intrusions en SSH
Voici quelques statistiques sur le serveur mikmer.fr pour les tentatives d’intrusion en SSH…
Sur le mois d’octobre 2022, 41489 tentatives d’intrusion ont été recensées avec 7085 logins différents, soit en moyenne 1 tentative par minute…
Aucun serveur ne peut se vanter d’être inviolable… Les failles 0-day régulièrement découvertes et publiées en sont la preuve, mais évidemment le serveur a des mécanismes de sécurité qu’il n’y a pas lieu de dévoiler ici…
Sans les mesures “d’hygiène numérique” mises en place, ce chiffre serait sans doute à multiplier par 10 !
Pour autant, c’est amusant de se pencher sur la liste des logins utilisés pour essayer de pirater le serveur.
Sans surprise, “root” est celui qui a le plus de succès avec 7942 tentatives, largement devant “admin” avec 906 essais.
Viennent ensuite un certain nombre de comptes “à mot de passe standard” mixés avec des logins probablement censés être populaires, mais ils sont sous la barre des 500 tentatives pour le mois…
Quelques logins méritent une palme au festival de cranes :
- Le plus poétique : “eurydice”
- Le moins poétique : “eatshit”
- Le plus cinéphile : “scarface”
- Les plus décevants : “fuck” et “asshole” (car très peu tentés 🙂 !)
Il est plus que probable que la quasi totalité des couples login-password testés est issue de serveurs déjà piratés…
Le top des logins testés plus de 100 fois pour intrusion est publié ci-après :
| Login | Nombre d’essais |
| root | 7942 |
| admin | 906 |
| test | 474 |
| postgres | 470 |
| user | 436 |
| ubuntu | 372 |
| oracle | 286 |
| administ | 224 |
| git | 214 |
| guest | 136 |
| hotman | 132 |
| hip | 130 |
| redmine | 128 |
| ftpuser | 124 |
| onk | 124 |
| root | 7942 |
| apache | 122 |
| admin | 906 |
| freware | 120 |
| test | 474 |
| minecraf | 118 |
| postgres | 470 |
| nlb | 116 |
| user | 436 |
| teamspea | 116 |
| ubuntu | 372 |
| agt | 114 |
| oracle | 286 |
| gabor | 114 |
| administ | 224 |
| nagios | 112 |
| git | 214 |
| deploy | 108 |
| guest | 136 |
| ranjit | 108 |
| hotman | 132 |
| ts3 | 108 |
| hip | 130 |
| shop | 106 |
| redmine | 128 |
| teacher | 104 |
| ftpuser | 124 |
| cgz | 102 |
| onk | 124 |
| fxs | 102 |
| apache | 122 |
| console | 100 |
| freware | 120 |
| hong | 100 |
| minecraf | 118 |
| nlb | 116 |
| teamspea | 116 |
| agt | 114 |
| gabor | 114 |
| nagios | 112 |
| deploy | 108 |
| ranjit | 108 |
| ts3 | 108 |
| shop | 106 |
| teacher | 104 |
| cgz | 102 |
| fxs | 102 |
| console | 100 |
| hong | 100 |
Tentatives de connections WordPress
Les tentatives d’intrusion pour prendre le contrôle de WordPress sont paradoxalement beaucoup moins nombreuses et beaucoup moins imaginatives…
Voila le top des noms d’utilisateurs les plus testés :
| Login | Nombre d’essais |
| administrator | 63 |
| support | 30 |
| mikmerfr | 29 |
| mikmer.fr | 27 |
| Michel Mercier | 19 |
| wadminw | 17 |
| wwwadmin | 14 |
| mikmer | 13 |
| garak | 5 |
| baze | 5 |
| zhihua | 5 |
| jane | 4 |
| abc123 | 4 |
| vernon | 4 |
| agent | 4 |
| simon | 4 |
