Tableau de bord
Statistiques en direct de 3 508 sessions SSH capturées sur environ 3 jours de déploiement.
Métriques globales
| Métrique | Valeur |
| Total sessions | 3 508 |
| IPs uniques | 126 |
| Tentatives d'auth | 3 610 |
| Auths réussies | 1 193 |
| Total commandes | 3 571 |
| Durée moyenne | 86s (1,4 min) |
| Durée max | 2 179s (36,3 min) |
| Sessions > 1 min | 54 |
| Sessions > 5 min | 11 |
Signal vs bruit
| Catégorie | Nombre | % | Description |
bot_ephemeral | 2 552 | 72,7 % | < 5 secondes, passage de scanner |
bot_exec_scanner | 877 | 25,0 % | Pas de PTY, commande exec unique |
bot_recon | 1 | 0,03 % | PTY mais discovery pure uniquement |
| Signal | 78 | 2,2 % | Interaction multi-tactique, type humain |
Couverture MITRE ATT&CK
Global (3 508 sessions)
| Tactique | Événements |
| discovery | 1 155 |
| credential-access | 246 |
| command-and-control | 19 |
| privilege-escalation | 8 |
| exfiltration | 6 |
Signal uniquement (78 sessions)
| Tactique | Événements |
| discovery | 70 |
| credential-access | 65 |
| privilege-escalation | 5 |
5/5 tactiques MITRE clés observées dans les sessions signal.
Top commandes
| Commande | Nombre |
printf | 960 |
uname | 755 |
ls | 640 |
echo | 282 |
/bin/./uname | 148 |
cat | 140 |
find | 122 |
ps | 66 |
hostname | 64 |
ip | 63 |
Note : /bin/./uname (148 occurrences) est la signature du botnet Kinsing — l'astuce dot-slash pour éluder le matching simple de commandes.
Top noms d'utilisateur
| Nom d'utilisateur | Tentatives |
| root | 1 146 |
| admin | 294 |
| ubuntu | 259 |
| sol | 213 |
| user | 170 |
| debian | 99 |
| solana | 90 |
| solv | 66 |
| test | 60 |
| oracle | 39 |
La présence de sol (213) et solana (90) dans le top 10 indique des scanners ciblant spécifiquement les nœuds validateurs Solana.
Top mots de passe
| Mot de passe | Tentatives |
| 123456 | 186 |
| admin | 122 |
| Gr1zzly!Pr0d_2026 | 82 |
| 1234 | 75 |
| 123 | 68 |
| solana | 57 |
| ubuntu | 54 |
| password | 53 |
| 12345678 | 50 |
| root | 43 |
Gr1zzly!Pr0d_2026 est un credential de test interne qui a fuité dans les wordlists de brute-force en quelques jours.
| Persona | Sessions signal | Durée moy. | Commandes moy. |
| fintech_trading | 34 | 94s | 1 349 |
| crypto_validator | 17 | 148s | 643 |
| corp_ad | 15 | 86s | 555 |
Le persona fintech attire 2,4× plus d'interaction que corp_ad.
Sortie dual-use
| Flux | Événements |
| Défensif | 8 668 |
| Offensif | 4 910 |
| Sessions traitées | 3 337 |