SSHで不正アクセスしようとしている国ランク

3 min read

こんにちは、無能です。
前回はこれ
俺のサーバーにSSHで不正アクセスをしようとしているしようとしているやつはどこの国だ!

ワンライナー集計

というわけで、私はBan期間を一週間にしているのでその一週間の間の結果です。

fail2ban-client status sshd

これで出てきたIPたちをそのままechoで標準出力したあとgeoiplookupしたりで集計してみます。

echo "空白区切りのIP群" | sed "s/ /\n/g" | while read -r ip; do geoiplookup "$ip"; done | sort | uniq -c | sort -tr

どうどうの一位は・・・。

      1 GeoIP Country Edition: AE, United Arab Emirates
      1 GeoIP Country Edition: BE, Belgium
      1 GeoIP Country Edition: CH, Switzerland
      1 GeoIP Country Edition: CO, Colombia
      1 GeoIP Country Edition: JP, Japan
      1 GeoIP Country Edition: KH, Cambodia
      1 GeoIP Country Edition: MR, Mauritania
      1 GeoIP Country Edition: NO, Norway
      1 GeoIP Country Edition: PE, Peru
      1 GeoIP Country Edition: PL, Poland
      1 GeoIP Country Edition: RU, Russian Federation
      1 GeoIP Country Edition: SC, Seychelles
      1 GeoIP Country Edition: SE, Sweden
      2 GeoIP Country Edition: AT, Austria
      2 GeoIP Country Edition: ES, Spain
      2 GeoIP Country Edition: MX, Mexico
      2 GeoIP Country Edition: TH, Thailand
      2 GeoIP Country Edition: UZ, Uzbekistan
      2 GeoIP Country Edition: ZA, South Africa
      3 GeoIP Country Edition: ID, Indonesia
      3 GeoIP Country Edition: TR, Turkey
      4 GeoIP Country Edition: DE, Germany
      4 GeoIP Country Edition: RO, Romania
      5 GeoIP Country Edition: GB, United Kingdom
      6 GeoIP Country Edition: AU, Australia
      6 GeoIP Country Edition: BG, Bulgaria
      9 GeoIP Country Edition: CA, Canada
      9 GeoIP Country Edition: HK, Hong Kong
      9 GeoIP Country Edition: SG, Singapore
     10 GeoIP Country Edition: IN, India
     10 GeoIP Country Edition: NL, Netherlands
     11 GeoIP Country Edition: FR, France
     14 GeoIP Country Edition: CN, China
     23 GeoIP Country Edition: VN, Vietnam
     25 GeoIP Country Edition: US, United States
     39 GeoIP Country Edition: KR, Korea, Republic of

前まではなかった気がする韓国がNo.1です。
ベトナムも結構上位に来ていますね。

SMTPとDovecotもFail2Banの対象としているのですが、アクセスなさすぎる。
Postfix

      1 GeoIP Country Edition: DE, Germany
      1 GeoIP Country Edition: ID, Indonesia
      1 GeoIP Country Edition: NL, Netherlands
      1 GeoIP Country Edition: TH, Thailand
      5 GeoIP Country Edition: US, United States

Postfixにも興味を示してほしいくらいですが・・・。

なんで韓国おおいんだろ?

韓国に「親ロシアハッカー」攻撃増 北朝鮮の兵派遣後
こんな記事みつけました。
なんか、親米国な韓国側に仕掛けるのは分からんでもない構図なのですが逆に韓国側からSSHをしにこようとしている構図はあまり良くわからないのですが・・・。
もしかしたら、すでに乗っ取られた状態からのサーバーから踏み台としてIPが使われていたりするんでしょうかね。
というのも、あの大きな大国米国の規模以上のIP数でSSHで入ろうとしに来ているのはちょっとおかしいので。

もしこれが北朝鮮だったとしてもGeoIPがSouth/Northの判別するんだろうか?

と。SSHしようとしてきている人たちのBan期間を1weekから10weekにしてみたので、期間を長めにまた集計できそうです。