SSHで不正アクセスしようとしている国ランク
3 min read
こんにちは、無能です。
前回はこれ
俺のサーバーにSSHで不正アクセスをしようとしているしようとしているやつはどこの国だ!
ワンライナー集計
というわけで、私はBan期間を一週間にしているのでその一週間の間の結果です。
fail2ban-client status sshd
これで出てきたIPたちをそのままecho
で標準出力したあとgeoiplookup
したりで集計してみます。
echo "空白区切りのIP群" | sed "s/ /\n/g" | while read -r ip; do geoiplookup "$ip"; done | sort | uniq -c | sort -tr
どうどうの一位は・・・。
1 GeoIP Country Edition: AE, United Arab Emirates
1 GeoIP Country Edition: BE, Belgium
1 GeoIP Country Edition: CH, Switzerland
1 GeoIP Country Edition: CO, Colombia
1 GeoIP Country Edition: JP, Japan
1 GeoIP Country Edition: KH, Cambodia
1 GeoIP Country Edition: MR, Mauritania
1 GeoIP Country Edition: NO, Norway
1 GeoIP Country Edition: PE, Peru
1 GeoIP Country Edition: PL, Poland
1 GeoIP Country Edition: RU, Russian Federation
1 GeoIP Country Edition: SC, Seychelles
1 GeoIP Country Edition: SE, Sweden
2 GeoIP Country Edition: AT, Austria
2 GeoIP Country Edition: ES, Spain
2 GeoIP Country Edition: MX, Mexico
2 GeoIP Country Edition: TH, Thailand
2 GeoIP Country Edition: UZ, Uzbekistan
2 GeoIP Country Edition: ZA, South Africa
3 GeoIP Country Edition: ID, Indonesia
3 GeoIP Country Edition: TR, Turkey
4 GeoIP Country Edition: DE, Germany
4 GeoIP Country Edition: RO, Romania
5 GeoIP Country Edition: GB, United Kingdom
6 GeoIP Country Edition: AU, Australia
6 GeoIP Country Edition: BG, Bulgaria
9 GeoIP Country Edition: CA, Canada
9 GeoIP Country Edition: HK, Hong Kong
9 GeoIP Country Edition: SG, Singapore
10 GeoIP Country Edition: IN, India
10 GeoIP Country Edition: NL, Netherlands
11 GeoIP Country Edition: FR, France
14 GeoIP Country Edition: CN, China
23 GeoIP Country Edition: VN, Vietnam
25 GeoIP Country Edition: US, United States
39 GeoIP Country Edition: KR, Korea, Republic of
前まではなかった気がする韓国がNo.1です。
ベトナムも結構上位に来ていますね。
SMTPとDovecotもFail2Banの対象としているのですが、アクセスなさすぎる。
Postfix
1 GeoIP Country Edition: DE, Germany
1 GeoIP Country Edition: ID, Indonesia
1 GeoIP Country Edition: NL, Netherlands
1 GeoIP Country Edition: TH, Thailand
5 GeoIP Country Edition: US, United States
Postfixにも興味を示してほしいくらいですが・・・。
なんで韓国おおいんだろ?
韓国に「親ロシアハッカー」攻撃増 北朝鮮の兵派遣後
こんな記事みつけました。
なんか、親米国な韓国側に仕掛けるのは分からんでもない構図なのですが逆に韓国側からSSHをしにこようとしている構図はあまり良くわからないのですが・・・。
もしかしたら、すでに乗っ取られた状態からのサーバーから踏み台としてIPが使われていたりするんでしょうかね。
というのも、あの大きな大国米国の規模以上のIP数でSSHで入ろうとしに来ているのはちょっとおかしいので。
もしこれが北朝鮮だったとしてもGeoIPがSouth/Northの判別するんだろうか?
と。SSHしようとしてきている人たちのBan期間を1weekから10weekにしてみたので、期間を長めにまた集計できそうです。