LXUN.ORG / ATTACK MUSEUM

全球服务器 SSH 爆破与恶意请求数据大盘

这台公开 IP 每天收到的扫描、爆破和怪 HTTP 请求,会在这里自动变成展品。

回到酒馆 今日展柜
总展品 -- 近 7 天聚合
SSH 爆破 -- auth.log
怪 HTTP -- 404 标本
蜜罐登录 -- Cowrie
今日新标本 -- 实时路径

馆长简报

本期攻击博物馆收录近 7 天 6,907 个真实服务器扫描标本,其中 SSH 暴力破解 4,991 次,Cowrie 蜜罐密码尝试 1,600 次,Web 恶意请求 316 次。

SSH 爆破用户名排行榜显示,最常被尝试的账号是 root;密码字典展柜里最醒目的攻击者密码尝试标本是 22&%DJO*8Ph@1ZlfyaT^Y8#Iw&Od0B&W123。

GeoIP 攻击热力图目前聚合出 120 个恶意 IP 来源地点,最高频来源显示为 RO。

Web 漏洞扫描展柜里最常见的异常路径是 /wp-admin/install.php,类型判断为 WordPress 后台与安装脚本扫描。公开页面只展示聚合后的攻击特征,不暴露原始 IP。

SSH 爆破用户名与弱账号扫描

  1. SSH 暴力破解用户名 root 被尝试 2,432 次,属于常见服务器弱账号扫描目标。
  2. SSH 暴力破解用户名 admin 被尝试 681 次,属于常见服务器弱账号扫描目标。
  3. SSH 暴力破解用户名 user 被尝试 345 次,属于常见服务器弱账号扫描目标。
  4. SSH 暴力破解用户名 ubuntu 被尝试 322 次,属于常见服务器弱账号扫描目标。
  5. SSH 暴力破解用户名 sol 被尝试 222 次,属于常见服务器弱账号扫描目标。
  6. SSH 暴力破解用户名 test 被尝试 124 次,属于常见服务器弱账号扫描目标。
  7. SSH 暴力破解用户名 solana 被尝试 114 次,属于常见服务器弱账号扫描目标。
  8. SSH 暴力破解用户名 solv 被尝试 70 次,属于常见服务器弱账号扫描目标。

Cowrie 蜜罐密码尝试与密码字典标本

  1. Cowrie 蜜罐捕获攻击者密码尝试/密码字典标本 22&%DJO*8Ph@1ZlfyaT^Y8#Iw&Od0B&W123,出现 2 次。
  2. Cowrie 蜜罐捕获攻击者密码尝试/密码字典标本 IZAK%s^&OzNgG%wm*teASED7E9zPoB&E%Pc,出现 1 次。
  3. Cowrie 蜜罐捕获攻击者密码尝试/密码字典标本 asdioqASLKF12ZGSLDQEWRASSDgaqweEZ1,出现 1 次。
  4. Cowrie 蜜罐捕获攻击者密码尝试/密码字典标本 Ahgf3487@rtjhskl854hd47893@#a4nC,出现 2 次。
  5. Cowrie 蜜罐捕获攻击者密码尝试/密码字典标本 916495a3@c4e778B8824fa763158be46,出现 1 次。
  6. Cowrie 蜜罐捕获攻击者密码尝试/密码字典标本 FDKJ38/dsh2@48djfn$#@sdjak@,出现 1 次。
  7. Cowrie 蜜罐捕获攻击者密码尝试/密码字典标本 Itsemoemo2025@Washere2025,出现 1 次。
  8. Cowrie 蜜罐捕获攻击者密码尝试/密码字典标本 FAqY7=MZk66k-ob3Rmk,出现 2 次。

WordPress / Web 漏洞扫描路径

  1. 检测到 WordPress 后台与安装脚本扫描:/wp-admin/install.php,累计 12 次。
  2. 检测到 WordPress 后台与安装脚本扫描:/wp-content/plugins/hellopress/wp_filemanager.php,累计 2 次。
  3. 检测到 Web 漏洞扫描请求:/tires.php,累计 2 次。
  4. 检测到 Web 漏洞扫描请求:/bthil.php,累计 2 次。
  5. 检测到 Web 漏洞扫描请求:/albin.php,累计 2 次。
  6. 检测到 Web 漏洞扫描请求:/lib.php,累计 2 次。
  7. 检测到 Web 漏洞扫描请求:/ah25.php,累计 2 次。
  8. 检测到 Web 漏洞扫描请求:/atomlib.php,累计 2 次。

恶意 IP 来源网段聚合

  1. 恶意 IP 来源网段聚合 43.100.92.0/24,在近 7 天攻击数据中出现 535 次。
  2. 恶意 IP 来源网段聚合 193.32.162.0/24,在近 7 天攻击数据中出现 461 次。
  3. 恶意 IP 来源网段聚合 157.15.98.0/24,在近 7 天攻击数据中出现 453 次。
  4. 恶意 IP 来源网段聚合 2.57.122.0/24,在近 7 天攻击数据中出现 434 次。
  5. 恶意 IP 来源网段聚合 213.209.159.0/24,在近 7 天攻击数据中出现 415 次。
  6. 恶意 IP 来源网段聚合 45.148.10.0/24,在近 7 天攻击数据中出现 386 次。
  7. 恶意 IP 来源网段聚合 2.57.121.0/24,在近 7 天攻击数据中出现 258 次。
  8. 恶意 IP 来源网段聚合 178.104.156.0/24,在近 7 天攻击数据中出现 256 次。

常见恶意爬虫 User-Agent

  1. 伪造 URL 型恶意扫描 User-Agent:http://lxun.org/wp-admin/install.php?step=1,记录 12 次。
  2. 浏览器式伪装 User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/146.0.0.0 Sa,记录 1 次。
  3. 浏览器式伪装 User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/147.0.0.0 Sa,记录 1 次。
  4. 浏览器式伪装 User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/146.0.0.0 Safari/537.3,记录 1 次。
  5. 浏览器式伪装 User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Sa,记录 1 次。
  6. 浏览器式伪装 User-Agent:Mozilla/5.0 (iPhone; CPU iPhone OS 18_3_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Cr,记录 1 次。

原始 IP 不公开展示,只按 ASN、网段或匿名请求聚合。真实生产 SSH 不保存密码;明文密码展柜来自 Cowrie 蜜罐标本。

00

恶意 IP 与服务器扫描来源 GeoIP 热力图

    01

    SSH 暴力破解:最常见用户名

      02

      Cowrie 蜜罐记录:密码尝试与密码字典标本

        03

        恶意扫描源 ASN 与来源网段排行

          04

          WordPress 与 Web 漏洞扫描路径

            05

            SSH 爆破与恶意请求时间热力图

            06

            最新服务器扫描与蜜罐攻击标本

            07

            恶意 IP 来源网段聚合

              08

              常见恶意爬虫 User-Agent 列表