TL;DR

Как бы это банально не звучало,но всячески защищайте production,stage,test и вообще любые сервера.Ставьте хорошие пароли,используйте firewall,меняйте порты,так как хакеры не дремлют.Ваш открытый ssh или mysql,redis оочень быстро найдут,и будут брутить.

А что будет если?

Захотелось мне узнать ,что будет если я оставлю ssh порт открытым со слабым паролем (например 123654). Как быстро начнут сканировать хост,будут ли брутить открытые порты?А что будет,если сбрутят? Поэтому,решил я завести самый дешевый хост на DO ,поставить туда honeypot Cowrie, и глянуть,что и как.

Установка cowrie подробно описана здесь. Следовал инструкции,и все само завелось.

Результаты

Сканировать и брутить стали к вечеру ,т.е. часов через 4-5.Я обрадовался,и периодически проверяя cowrie,оставил honeypot на 3 месяца. По проишествии 3 месяцев можно подвести какие-то результаты.

Итак,папка dl,в которую сохранялось все,что закачают через cowrie,на сервер, получилась интересной.

Всего закачали около 200mb. Например

IRC бот energymech , последний релиз в 2009 году
Брутер ssh “Made in RoMaNiA” - РУМЫНСКИЕ ХАКЕРЫ?
Несколько сприптов на PERL для DDOS - вот кусочек порезанный
Pscan - стаарый сканер портов
Добротно написанная измерялка скорости на python - вот уж хз зачем
Какаято видео запись РУМЫНСКИХ хакеров,со скайпом и рабочим столом =) - вот уж не знаю,зачем им так палиться
Куча скомпиленных руткитов,которым пытались пробить машину.

Также общее количество попыток залогиниться с период 2016-03-24 по 26.6.04 - 88413, из них неудачных попыток 86027,а успешных 2386.

Вот небольшой топ паролей.

Пароль	Частота
123456	3329
password	2502
	1908
root	1394
qwerty	1298
admin	1283
test	1026
12345	898
1234	872
123	817
support	687
p@ssw0rd	638
user	535
root123	509
toor	492
!@	486
123qwe	484
ubnt	451
1234567	443
wubao	442
jiamima	437
1qaz2wsx	434
111111	431
123123	424
nagios	418
default	408
1q2w3e4r	406

The end

И еще,я бы никогда не доверял открытым и быстрым proxy-серверам.Халява ,только в мышеловке =)